当您在应用中使用 API 密钥时,请确保其在存储和传输期间均安全无虞。公开泄露 API 密钥可能会导致您的账号产生意外费用或您的数据遭到未经授权的访问。为帮助确保 API 密钥的安全,请遵循以下最佳做法。
为密钥添加 API 密钥限制。
通过添加限制,您可以限制 API 密钥的使用方式,从而降低 API 密钥被破解造成的影响。
如需了解详情,请参阅应用 API 密钥限制。
删除不需要的 API 密钥以最大限度地减少遭到攻击的风险
仅保留您当前使用的 API 密钥,以尽可能缩小攻击面。
定期删除并重新创建 API 密钥
定期创建新的 API 密钥,更新应用以使用新的 API 密钥,以及删除旧密钥。
请勿在客户端代码中包含 API 密钥,也不要将其提交到代码库
在源代码中硬编码的 API 密钥或存储在代码库中的 API 密钥可能会被作恶方截取或窃取。客户端应将请求传递给服务器,后者可以添加凭证并发出请求。如果您必须在客户端存储密钥,请使用密钥管理系统来确保密钥的安全。
实现强大的监控和日志记录
监控 API 用量有助于提醒您未经授权的使用情况。如需了解详情,请参阅 Cloud Monitoring 概览和 Cloud Logging 概览。
考虑使用更安全的授权访问方法
如需有关选择身份验证方法的帮助,请参阅身份验证方法。