建议对Giphy API密钥保密吗？

Question

我正在使用Giphy的API，目前有一个开发密钥。我正在寻找部署我的网站，但不知道它是一个面向公众的密钥还是私人密钥，并且在网上找不到答案，也不能在直接询问他们之后找到答案。

Answer 1

虽然我通常倾向于同意Jay的答案，但在查看了他们的introduction和特定的javascript示例后，我认为这个密钥应该在浏览器中使用，因此它实际上是一个公钥。我假设在以后的过程中，为了避免滥用生产API密钥，它们可能只服务于来自您与该密钥一起注册的域的请求。据我所知，开发密钥是为了有限的测试目的，所以如果没有注册域名，这就不是什么问题了。

Answer 2

是的，任何API密钥都是如此。

如果你泄露了你的API密钥，并且它被恶意使用的人滥用了，那么你就陷入了困境。

一个很好的例子是人们将他们的亚马逊网络服务密钥泄露到Github中，并让密码挖掘机器人自动抓取它们，他们使用这些密钥来旋转EC2实例和挖掘比特币等。

同样的道理也适用于这里。如果您泄露了您的生产密钥，任何人都可以简单地将其从您的应用程序中复制出来，并在自己的应用程序中使用它。

处理生产应用程序接口密钥的正确方法是使用Server Side Requests。

请求应遵循以下路径：

这个中间人代码阻止任何人直接与您的API密钥交互。

Answer 3

以下是

对这个问题的官方回应：

GIPHY API被设计为在客户端使用(因此也是API密钥)。你应该继续这样使用它。一旦开发完成-请通过开发者仪表板申请密钥的生产访问权限，这将取消与测试版密钥关联的速率限制，因此您不必担心高流量。最后，也是最重要的- GIPHY有API密钥滥用的监视器设置，如果发生任何事情，我们将与您联系。我们绝对不希望你为此担心。

From here

似乎不应该担心这件事。