Javascript 如何使用Google Picker库管理机密?
我有一个带有html/js的web应用程序。为gdrive集成了Google选择器。在浏览器中,开发工具/源代码:developerKey、clientId、appId被公开。这是否构成任何安全风险(1)或那些可能是公共的?如果没有,有什么可能的方法来隐藏它Javascript 如何使用Google Picker库管理机密?,javascript,html,jquery,google-picker,Javascript,Html,Jquery,Google Picker,我有一个带有html/js的web应用程序。为gdrive集成了Google选择器。在浏览器中,开发工具/源代码:developerKey、clientId、appId被公开。这是否构成任何安全风险(1)或那些可能是公共的?如果没有,有什么可能的方法来隐藏它 (1) 我已经将谷歌控制台中的developerKey限制为仅用于gdrive,而不用于其他任何用途。没有安全风险,因为这些工具无法用于对您的帐户进行身份验证或获取私人信息,但有人可以使用您的API密钥向公开公共信息的谷歌API发出请求(例
(1) 我已经将谷歌控制台中的developerKey限制为仅用于gdrive,而不用于其他任何用途。没有安全风险,因为这些工具无法用于对您的帐户进行身份验证或获取私人信息,但有人可以使用您的API密钥向公开公共信息的谷歌API发出请求(例如谷歌地图)并收取配额费用。为了防止配额“被盗”,您有2个选项: 1) 遵循将API密钥限制为仅从特定URL或特定IP地址使用 2) 设置一个后端服务来对每个用户进行身份验证,以获取API密钥,如本文所述