关于Google API密钥及其安全性的一些探讨 - Stefan M.

探讨Google API密钥的获取与安全性

在本文中，我们将以一个简单的用例为起点，探讨Google API密钥的获取方式及其安全性问题。

如何获取Google API密钥？

首先，让我们来看一个简单的API调用示例：

https://maps.googleapis.com/maps/api/geocode/json?address=ioki%20gmbh&key=[GOOGLE_API_KEY]

在这个示例中，我们需要一个有效的API密钥才能访问Google的地理编码API。那么，如何获取这个API密钥呢？

1. 创建API密钥：在Google Cloud控制台中生成一个API密钥。
2. 启用相关API：在云控制台中启用需要使用的API，例如Geocoding API。

完成以上步骤后，我们便可以使用生成的API密钥进行调用。例如，将密钥替换到上述URL中，即可获取地理编码API的结果。

API密钥的潜在安全风险

虽然获取API密钥并启用相关API看似简单，但在实际使用中存在一些潜在的安全风险。以下是一个常见的场景：

假设您启用了另一个API，那么您之前创建的地理编码API密钥可能会被用于访问其他API。这种情况下，API密钥的权限范围超出了预期，可能导致安全隐患。

如何限制API密钥的使用范围？

为了避免上述问题，建议对API密钥进行限制。以下是一些常见的限制方式：

1. 限制应用程序：将API密钥限制为特定的应用程序使用。例如，可以限制密钥仅供特定的Android应用（通过ApplicationId和APK签名指纹）使用。
2. 限制API访问范围：将API密钥限制为仅能访问特定的API。例如，仅允许访问Places API和Maps SDK for Android。

通过以上限制，即使团队成员在云控制台中启用了其他API，受限的API密钥也不会受到影响，确保其安全性。

Firebase项目中的API密钥安全性

需要注意的是，Firebase项目本质上是一个Google Cloud项目，因此上述关于API密钥的安全性问题同样适用于Firebase项目。

Firebase中的公开API密钥

Firebase提供的Web设置代码片段通常如下所示：

...

此代码片段需要嵌入到HTML或JavaScript文件中，并会随页面一起发送到客户端。这意味着任何访问该网站的用户都可以通过浏览器的“查看页面源代码”功能轻松获取API密钥。

潜在的安全风险

如果团队中的某人启用了额外的API，那么这些公开的API密钥可能会被滥用，导致额外的费用或数据泄露风险。因此，即使API密钥公开，只要不更改Google Cloud项目中的设置，理论上是安全的。但在实际团队协作中，您无法完全控制其他成员的操作，因此需要格外小心。

总结

在使用Google API密钥时，务必注意以下几点：

1. 限制API密钥的使用范围：通过限制应用程序和API访问范围，降低密钥被滥用的风险。
2. 保护Firebase项目的API密钥：避免在公开的代码中暴露敏感的API密钥。
3. 团队协作中的安全意识：确保团队成员了解API密钥的安全性问题，并遵循最佳实践。

通过以上措施，可以有效提升API密钥的安全性，避免不必要的风险。

原文链接: https://stefma.medium.com/something-about-google-api-keys-how-to-secure-them-and-what-firebase-got-to-do-with-this-e10473637ed3