參考下圖中突出顯示的API密鑰,我想知道用於瀏覽器應用的Blogger API密鑰是否應該保密。我應該讓我的Blogger瀏覽器應用API密鑰保密嗎?
我之所以這樣問是因爲我打算寫一篇博客文章在JavaScript中使用谷歌的Blogger API,並會喜歡使用API(與API密鑰一起提供一個工作示例在代碼示例中)在jsFiddle上公開。
這是我在documentation發現(高亮顯着的部分):
[...]當你的應用程序需要調用在這 項目啓用的API,應用程序通過這個鍵入所有API請求作爲 key = API_key參數。 使用此密鑰不需要任何用戶 操作或同意,不授予任何帳戶信息的訪問權限, 並且不用於授權。
那麼我是否有權假定我可以公開分享這個API密鑰,而不會冒着有人對其進行惡意行爲的風險?
好的,所以@LeonLucardie答案基本上沒有。然後,API密鑰會在每個請求中公開發送,因此攻擊者可能通過嗅探請求來獲取密鑰? – stys 2013-05-02 07:44:44
是的,事實是,據我所知,這個API密鑰應該在製作瀏覽器應用程序時使用,即它不能真正隱藏,因爲所有的代碼都在客戶端的瀏覽器中。 所以基本上,我不認爲它特別意味着保密。 – 2013-05-02 11:55:13
我同意。任何想法如何保護應用程序免受「每日請求限額」攻擊? – stys 2013-05-02 13:59:25