我有使用html / js的网络应用。集成了适用于gdrive的Google Picker library。在浏览器开发工具/源代码中:公开了developerKey,clientId,appId。这会带来任何安全风险(1)还是可以公开?如果没有,有什么可能的隐藏方式?
((1)我限制了Google控制台中的developerKey仅可用于gdrive,而不能用于其他任何东西。
没有安全风险,因为这些密码不能用于对您的帐户进行身份验证或获取私人信息,但是有人可以使用您的API密钥向公开了公共信息(例如Google Maps)并需要付费的Google API发出请求这些配额费用。为防止配额被盗,您有2种选择:
1)按照Google guidelines限制您的API密钥只能在特定的URL或某些IP地址中使用。
2)设置后端服务以对每个用户进行身份验证,以获取此answer中所述的API密钥。