根据Cloud Endpoint docs,似乎您必须将URL本身中的API密钥作为查询参数传递。
但是,这使我们在中间攻击中容易受到人的攻击。我想知道是否有一种方法可以通过在标头中传递API密钥来使它工作。
我正在开发一个简单的应用程序,该应用程序尚未集成任何登录方法。在Cloud Endpoints中,有没有其他替代的身份验证方法,我不需要添加任何现有的登录方法,但可以安全地使用API密钥。
API密钥通常不安全。
对于server-to-server通信,确保其安全的一种方法是使用HTTPS和IP白名单。
但是,对于(browser or mobile client)-to-server通信,我们需要将API密钥存储在客户端中,并且它当然会暴露给人们。
为了获得用于Google Cloud Endpoints的安全的客户端-服务器通信,请尝试添加身份验证方法,例如Firebase或Google ID。