V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
FaiChou
V2EX  ›  程序员

有什么方法可以防止泄漏某些 API KEY?

  •  
  •   FaiChou ·
    FaiChou · 2022-06-15 15:40:40 +08:00 · 2495 次点击
    这是一个创建于 921 天前的主题,其中的信息可能已经有所发展或是发生改变。

    像 openweather 或者 barcodelookup 这种工具, 注册后提供一个 API KEY 来进行接口请求, 而且这些请求都不是免费的, 需要花钱买请求次数. 那么问题来了, app 或者网页端如何保证这些 key 不泄漏?

    ps. 就不考虑 app 防止抓包策略了.

    https://openweathermap.org/api

    https://www.barcodelookup.com/api

    sutra
        1
    sutra  
       2022-06-15 15:44:15 +08:00   ❤️ 1
    自己的服务器中转一下?
    SenLief
        2
    SenLief  
       2022-06-15 15:45:47 +08:00
    自己服务器中转了,不过被抓了包,用处也不大吧,一样不是能模拟客户端发出的。
    cczhrd
        3
    cczhrd  
       2022-06-15 15:45:50 +08:00
    加多一个中间层
    pelloz
        4
    pelloz  
       2022-06-15 15:47:54 +08:00   ❤️ 1
    当然是自己服务器中转了,你们还能添加缓存,不是每次请求都一定要回源到收费 api 的。
    FaiChou
        5
    FaiChou  
    OP
       2022-06-15 15:48:21 +08:00
    @cczhrd
    @sutra
    app/前端 请求服务器接口, 服务器那边利用这个 apikey 来请求服务商. 是这样吧.
    服务器来做一些过滤, 防止某用户一次请求多个.
    fuchaofather
        6
    fuchaofather  
       2022-06-15 15:50:56 +08:00   ❤️ 1
    我们一般是经过自己服务器中转,记录调用情况。后续如果有问题可以审计分析
    Kasumi20
        7
    Kasumi20  
       2022-06-15 15:51:20 +08:00   ❤️ 1
    这种 API 就不是给客户端直接用的吧,都是服务端去接入
    caqiko
        8
    caqiko  
       2022-06-15 16:21:57 +08:00 via Android
    自己服务器中转,终端用户鉴权➕限制请求速度。
    Alliot
        9
    Alliot  
       2022-06-15 19:50:57 +08:00 via Android
    vault
    cczhrd
        10
    cczhrd  
       2022-06-17 09:55:30 +08:00
    @FaiChou 是的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3153 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 00:13 · PVG 08:13 · LAX 16:13 · JFK 19:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.