快速提示：在 Android 上隐藏你的 API 密钥

在开发 Android 应用时，保护 API 密钥的安全性至关重要。API 密钥用于验证你对各种平台（如 Google Maps API 和 SDK）的调用，因此必须妥善保护，避免泄露。本文将介绍一种方法，通过将 API 密钥从版本控制中隐藏起来，确保其安全性。这种方法不仅适用于 Google Maps API，也适用于其他需要 API 密钥的服务。

一、为什么需要隐藏 API 密钥？

API 密钥就像你的汽车钥匙或家庭钥匙一样重要，一旦泄露，可能会被恶意使用，导致安全风险。因此，不应将 API 密钥硬编码在代码中，尤其是不应将其暴露在版本控制系统（如 Git）中。隐藏 API 密钥可以有效防止密钥被意外泄露，同时也能简化密钥管理。

二、如何隐藏 API 密钥？

1. 在 local.properties 文件中存储密钥
   

   • 在项目的根目录中找到 local.properties 文件。如果文件不存在，可以手动创建一个。
   • 在 local.properties 文件中添加一个新的键值对，用于存储 API 密钥。例如：

     GMP_KEY=your_api_key_here

     

   • 确保 local.properties 文件被排除在版本控制之外。检查 .gitignore 文件，确保其中包含以下内容：

     local.properties

2. 使用 secrets-gradle-plugin 插件

   • 打开应用级的 build.gradle 文件。
     
   • 在 plugins 块中添加 secrets-gradle-plugin 插件。例如：

     plugins {
      id 'com.google.secrets_gradle_plugin' version '0.4'
     }

   • 这个插件会在构建过程中从 local.properties 文件中读取密钥，并将其作为变量公开，以便在后续的构建配置和 Android 清单文件中使用。

3. 构建项目
   

   • 通过 Android Studio 的菜单栏选择 Build > Rebuild Project 重新构建项目。
   • 一旦构建完成，API 密钥将作为构建配置变量和 Android 清单文件中的变量可用。

4. 在代码中使用密钥

   • 如果你的应用使用了 Google Maps 或其他需要 API 密钥的服务，可以在代码中通过 BuildConfig 访问密钥。例如：

     Places.initialize(getApplicationContext(), BuildConfig.GMP_KEY);

   • 在 Android 清单文件中，也可以使用生成的变量代替硬编码的密钥。例如：

     android:name="com.google.android.geo.API_KEY"
     
     android:value="${GMP_KEY}"

     三、注意事项

• 限制密钥的使用范围：即使密钥被隐藏，也应限制其使用范围，确保它只能在你的应用程序中使用。可以在 Google Cloud Console 中设置密钥的使用限制。
• 开源插件：secrets-gradle-plugin 是一个开源插件，你可以在 GitHub 上查看其文档和配置方法。如果需要，也可以向项目提交拉取请求。
  

  总结

通过将 API 密钥存储在 local.properties 文件中，并使用 secrets-gradle-plugin 插件，可以有效地将密钥从版本控制中隐藏起来，同时确保其在构建过程中可用。这种方法不仅提高了安全性，还简化了密钥管理。希望这个快速提示对你有所帮助！如果觉得有用，请订阅以获取更多类似的开发技巧。

原文引自YouTube视频：https://www.youtube.com/watch?v=X8lYNW_Or2o