有什么方法可以防止泄漏某些 API KEY?

2022-06-15 15:40:40 +08:00
 FaiChou

像 openweather 或者 barcodelookup 这种工具, 注册后提供一个 API KEY 来进行接口请求, 而且这些请求都不是免费的, 需要花钱买请求次数. 那么问题来了, app 或者网页端如何保证这些 key 不泄漏?

ps. 就不考虑 app 防止抓包策略了.

https://openweathermap.org/api

https://www.barcodelookup.com/api

2501 次点击
所在节点    程序员
10 条回复
sutra
2022-06-15 15:44:15 +08:00
自己的服务器中转一下?
SenLief
2022-06-15 15:45:47 +08:00
自己服务器中转了,不过被抓了包,用处也不大吧,一样不是能模拟客户端发出的。
cczhrd
2022-06-15 15:45:50 +08:00
加多一个中间层
pelloz
2022-06-15 15:47:54 +08:00
当然是自己服务器中转了,你们还能添加缓存,不是每次请求都一定要回源到收费 api 的。
FaiChou
2022-06-15 15:48:21 +08:00
@cczhrd
@sutra
app/前端 请求服务器接口, 服务器那边利用这个 apikey 来请求服务商. 是这样吧.
服务器来做一些过滤, 防止某用户一次请求多个.
fuchaofather
2022-06-15 15:50:56 +08:00
我们一般是经过自己服务器中转,记录调用情况。后续如果有问题可以审计分析
Kasumi20
2022-06-15 15:51:20 +08:00
这种 API 就不是给客户端直接用的吧,都是服务端去接入
caqiko
2022-06-15 16:21:57 +08:00
自己服务器中转,终端用户鉴权➕限制请求速度。
Alliot
2022-06-15 19:50:57 +08:00
vault
cczhrd
2022-06-17 09:55:30 +08:00
@FaiChou 是的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/859794

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX