Ссылаясь на выделенный ключ API в приведенном ниже изображении, мне интересно, следует ли хранить секретный ключ API Blogger, который используется для приложений браузера.Должен ли я хранить секретный ключ API-браузера браузера Blogger?
Я спрашиваю потому, что я планирую написать сообщение в блоге об использовании API Google Blogger в JavaScript и хотел бы, чтобы обеспечить рабочий пример использования API (вместе с ключом API в примере кода) публично на jsFiddle.
Это то, что я нашел в documentation (выделено заметное сечение):
[...] Когда ваше приложение должно вызвать API, который включен в данном проекте , приложение передает эту ключ во все запросы API как параметр key = API_key. Использование этого ключа не требует никакого действия пользователя или согласия пользователя , не предоставляет доступ к любой информации учетной записи, и не используется для авторизации.
Могу ли я предположить, что я могу публично делиться этим ключом API, не рискуя сделать с ним что-то злое?
Хорошо, поэтому ответ @LeonLucardie в основном НЕТ. И тогда ключ API отправляется открыто в каждом запросе, так что злоумышленник может получить ключ, обнюхивая запросы? – stys
Да, это то, что я понимаю, этот ключ API следует использовать при создании приложения для браузера, т. Е. Он не может быть действительно скрыт, поскольку весь код будет находиться в браузере клиента. Так что, в основном, я не думаю, что это особенно важно держать в секрете. –
Согласен. Любые идеи о том, как защитить приложение от атаки «нажимать на ежедневную заявку»? – stys