Quelles mesures dois-je prendre pour protéger ma clé API Google Maps ?

Question

J'ai obtenu une clé API Google Maps pour mon domaine.

Les exemples fournis lorsque j'ai obtenu ma clé montrent la clé intégrée dans les paramètres de la demande, par exemple :

<script src="http://maps.google.com/maps?file=api&amp;v=2&amp;sensor=true_or_false&amp;key=my-key" type="text/javascript"></script>

Je comprends que le champ referrer dans les requêtes doit correspondre à mon domaine, est-il sûr de rendre ma clé visible dans les balises de script et similaires ? Ou dois-je prendre d'autres mesures ?

Answer 1

Il y a des paramètres sur la console de l'API Google qui peuvent protéger votre utilisation de la bande passante de l'API contre l'utilisation par un autre domaine/utilisateur. Vous pouvez restreindre et protéger cela en utilisant referrer sur la console de l'API. API Key rejettera les demandes sans référents qui correspondent à vos restrictions.

Voici une capture d'écran de Google pour API Key qui ne peut être utilisé par Google Frowm ses deux domaines.

Answer 2

Je ne vois pas pourquoi vous vous embêteriez. La clé n'est-elle pas valide uniquement à partir de votre domaine ? IIRC, la seule information encodée dans elle est votre nom de domaine, en dehors de toute information Google pourrait ajouter comme le temps il a été généré.

Answer 3

Vous devez utiliser le côté back-end/serveur pour protéger et manipuler la clé. Dans mon cas, j'ai utilisé Django côté serveur qui peut servir un appel ajax pour obtenir la clé à partir du script serveur/db, puis la passer sur google api.