在Javascript中使用可见的Google Drive API键安全吗?
我正在使用GoogleDrive API从GoogleDrive下载文件。我正在使用Javascript实现这一点。在JS中使用可见的API键安全吗?或者我应该使用Node.JS或其他东西?正如您在代码顶部看到的,有许多键(开发者键、客户端id和应用程序id)。我的代码中是否存在任何漏洞 这是我的密码:在Javascript中使用可见的Google Drive API键安全吗?,javascript,google-api,Javascript,Google Api,我正在使用GoogleDrive API从GoogleDrive下载文件。我正在使用Javascript实现这一点。在JS中使用可见的API键安全吗?或者我应该使用Node.JS或其他东西?正如您在代码顶部看到的,有许多键(开发者键、客户端id和应用程序id)。我的代码中是否存在任何漏洞 这是我的密码: var developerKey = '[key]'; var clientId = "[key]" var appId = "[key]&
var developerKey = '[key]';
var clientId = "[key]"
var appId = "[key]";
var scope = ['https://www.googleapis.com/auth/drive.file', 'https://www.googleapis.com/auth/drive'];
var pickerApiLoaded = false;
var driveLoaded = false;
var oauthToken;
// Use the Google API Loader script to load the google.picker script.
function loadPicker() {
gapi.load('auth', {'callback': onAuthApiLoad});
gapi.load('picker', {'callback': onPickerApiLoad});
gapi.load('client', function () {
gapi.client.load('drive', 'v2', function () {
driveLoaded = true;
});
});
}
function onAuthApiLoad() {
window.gapi.auth.authorize(
{
'client_id': clientId,
'scope': scope,
'immediate': false
},
handleAuthResult);
}
function onPickerApiLoad() {
pickerApiLoaded = true;
createPicker();
}
function handleAuthResult(authResult) {
if (authResult && !authResult.error) {
oauthToken = authResult.access_token;
createPicker();
}
}
// Create and render a Picker object for searching images.
function createPicker() {
if (pickerApiLoaded && oauthToken) {
var view = new google.picker.View(google.picker.ViewId.DOCS);
view.setMimeTypes("application/sla,application/vnd.ms-pki.stl,application/x-navistyle");
var picker = new google.picker.PickerBuilder()
.enableFeature(google.picker.Feature.NAV_HIDDEN)
.enableFeature(google.picker.Feature.MULTISELECT_ENABLED)
.setAppId(appId)
.setOAuthToken(oauthToken)
.addView(view)
.addView(new google.picker.DocsUploadView())
.setDeveloperKey(developerKey)
.setCallback(pickerCallback)
.build();
picker.setVisible(true);
}
}
// A simple callback implementation.
function pickerCallback(data) {
if (data.action == google.picker.Action.PICKED) {
var fileId = data.docs[0].id;
downloadFile(fileId, data.docs[0].name);
}
}
function downloadFile(fileId, fileName)
{
var request = gapi.client.drive.files.get({
fileId:fileId,
alt:"media"
}).then(function(resp){
$.post("PHP/save_file.php", {Type: "stl", Filename: fileName, Data: resp.body}, function(response) {
if (response == "OK")
{
}
});
});
}
function showPickerDialog(){
loadPicker()
}
当您在Google开发者控制台上创建应用程序时,您创建了一个web应用程序。当您创建它时,您添加了一个javascript源代码。只要将此javascript源代码设置为运行应用程序的Web服务器的位置,则任何人都无法使用您的客户端id。如果将其设置为localhost,则存在有人劫持您的令牌并使用它的风险
至于api密钥,您应该将其锁定到特定域,但是api密钥只允许您读取公共数据。Google Drive中的公共数据量,但如果您不锁定api密钥,则有人可能会滥用它。您可能需要检查,以查看您的问题是否在主题中。是的,您不希望客户端或甚至您的代码存储库中可以使用这些数据。它们就像密码一样。对于javascript客户端应用程序,它们实际上不像密码。服务器端的Oauth2更像是登录名和密码。客户端javascript更像是没有密码的登录。当密码链接到服务器上的javascript源代码时,它就会进入。关于Javascript的客户端id和API密钥只能真正将您的应用程序标识给Google。@HereticMonkey我不确定这是否是保护身份验证服务器客户端安全的最佳做法。谢谢。现在我使用localhost进行测试。在未来,我将明确设置域和其他东西…记住接受答案,如果它有助于你