Ao usar chaves de API nos seus aplicativos, garanta que elas sejam mantidas em segurança durante o armazenamento e a transmissão. A exposição pública das chaves de API pode levar a cobranças inesperadas na sua conta ou acesso não autorizado aos seus dados. Para manter as chaves de API em segurança, implemente as práticas recomendadas a seguir.
Adicione restrições da chave de API à sua chave
Ao adicionar restrições, é possível limitar como uma chave de API pode ser usada, reduzindo o impacto de uma chave de API comprometida.
Para mais informações, consulte Aplicar restrições de chave de API.
Evite usar parâmetros de consulta para fornecer sua chave de API às APIs do Google
Fornecer a chave de API para APIs como um parâmetro de consulta inclui a chave de API no
URL, expondo-a a roubos por meio de verificações de URL. Use o
parâmetro HTML x-goog-api-key
ou uma biblioteca de cliente.
Exclua chaves de API desnecessárias para minimizar a exposição a ataques
Retenha apenas as chaves de API que você está usando para manter a superfície de ataque o menor possível.
Alterne as chaves de API periodicamente
Crie periodicamente novas chaves de API, atualize os aplicativos para usar as novas chaves e exclua as antigas.
Para mais informações, consulte Rotejar uma chave de API.
Não incluir chaves de API no código do cliente nem confirmar em repositórios de código
Chaves de API codificadas no código-fonte ou armazenadas em um repositório estão sujeitas a interceptação ou roubo por usuários mal-intencionados. O cliente precisa transmitir solicitações ao servidor, que pode adicionar a credencial e emitir a solicitação.
Implementar monitoramento e geração de registros eficientes
O monitoramento do uso da API pode ajudar a alertar sobre uso não autorizado. Para mais informações, consulte a Visão geral do Cloud Monitoring e a Visão geral do Cloud Logging.
Considere um método mais seguro de autorização de acesso
Para saber como escolher um método de autenticação, consulte Métodos de autenticação.