Я разработал плагин WordPress WP Google Fonts v3.1.1, который использует Google Fonts API для загрузки всего списка шрифтов, доступных из Google при первом использовании, а затем не чаще, чем раз в 12 часов после этого, исходя из посещения панель администратора. Я сохранил ключ API в коде, потому что он является открытым ключом и используется Google для отслеживания и ограничения использования.Хранить ключ API скрыт в плагине WordPress
var $api_key = '?key=[the key I am trying to leave out]';
var $api_url = 'https://www.googleapis.com/webfonts/v1/webfonts';
Я знал, что другие будут иметь доступ к ключу и потенциально использовать его в своих собственных вариациях плагина, но не предвижу ударяя пределы использования даже так.
С тех пор плагин стал довольно популярным, что увеличило количество вызовов.
Кроме того, некоторые разработчики темы включили ключ API и другие фрагменты кода в свои собственные варианты, дополнительно увеличивая использование ключа.
Это привело к частым ограничениям использования. Примерно половина звонков в любой день отклоняется из-за чрезмерного времени.
Ключ предназначен для использования в любых доменах, поэтому я не могу ограничить источник рефералов, как рекомендуют некоторые решения.
Поскольку это плагин WordPress, он является открытым исходным кодом, поэтому любой разработчик может быстро найти ключ, даже если он находится в файле конфигурации.
Я хочу, чтобы плагин был максимально простым в использовании, поэтому мне не нравится идея, когда люди должны получить свой собственный ключ и ввести его в панель настроек.
Какие у меня варианты оставить ключ API из исходного кода?
Я читал решения, которые говорят либо об этом просто can't be avoided, либо что я должен создать proxy web service as an intermediate layer, что я не уверен, что разрешил бы эту ситуацию.
Спасибо за напоминание @ humble.rumble. Я дал ссылку на исходный код и добавил раздел кода, который я хотел бы видеть измененным. –