如何处理API密钥的反应？

Question

通过很多关于人们如何处理api键的帖子和文章来阅读。我认为有些人通过获得api密钥是安全的，有些则将其存储在.env文件中。

示例文章我读过

1. https://www.rockyourcode.com/secret-keys-in-react/
2. https://github.com/react-boilerplate/react-boilerplate/issues/1744#issuecomment-303112505

我的处境

目前，我正在将API密钥存储在.env文件中，因为我正在中丑化中的代码。即使通过元素也无法读取这些文件，但是现在以可读格式公开了我的所有api键。

我的用例：

我的网站不需要登录，因此不需要认证。基本上，它是用于火灾分析的API键。我认为在这里创建一个来获取api密钥是没有意义的吗？(再说一次，我不需要认证)

如何更好地处理API密钥？

Answer 1

我不认为公开Firebase密钥是一种安全威胁，正如本文所述：https://medium.com/@paulbreslin/is-it-safe-to-expose-your-firebase-api-key-to-the-public-7e5bd01e637b

GCP通常允许您按域限制api键。这也许是保护您的配置并防止其他人将请求欺骗为您的项目的一种方法。

然而，在任何其他情况下，我都不会在客户端代码中公开api密钥，而是使用中间服务器或云功能。