Here api 如何防止here.com api id劫持？

我将要使用here.com API。我为一个新应用程序生成了一个api\u id/api\u代码。这两个值必须附加到API的每个请求中，如果在Web应用程序中使用，每个人都可以看到

id+代码没有像Google API键那样绑定到URL，所以我看不到任何方法阻止任何人使用我的id+代码，比如说，刮瓷砖。由于API需要花钱，我想知道如何才能防止这种情况发生

---

这里没有关于密钥保护的内容，而且here.com似乎并不想与开发人员交谈，所以我希望这个metaish问题不会被否决……

在您的here Developer仪表板中，当您导航到一个项目并查看JavaScript/REST令牌时，有一个复选框显示“针对特定域保护应用程序凭据”

通过将令牌锁定到特定域或一组域，它们将受到恶意用户的保护。如果有人窃取您的令牌，他们将无法使用它们，因为请求需要来自您的域

希望这能有所帮助

---

最好，

您不能随时停用应用程序id吗？因此，如果恶意访问该应用程序以停止请求，您可以这样做。如果您通过https发出请求，这也会使其更加安全。当然，但我的警告可能太晚了。https没有帮助，应用程序id+应用程序代码固有地存在于源代码中。如果您的代码是serv上的Web应用程序，则呃，用户如何才能看到您的令牌？您的源代码是公开的还是什么？它不是服务器端，而是客户端代码，从磁贴服务器获取磁贴。如果应用程序Id/代码必须隐藏在javascript中，请尝试javascript模糊器，如果API调用内部存在http get请求，则详细信息可能仍然是漏洞ble。Here API应该正在实施一个额外的检查，以限制来自某个域的凭据的使用。我想这项功能是在过去3年中添加的，因为我不记得看到过该复选框。因此，感谢更新！@Nic Raboy，它对我不起作用。我正在执行一个免费的计划，并且我已将一个域添加到““JavaScript/REST”部分中的“针对特定域保护应用程序凭据”，但我可以将代码移动到具有完全不同域的主机上，并且可以正常工作。我是否遗漏了什么？