如何在Ionic/Cordova应用程序中保护我的Google V3 API密钥？

Question

我目前正在开发一个Ionic应用程序，我有一个嵌入的谷歌地图。Google V3 API建议使用API键来跟踪使用情况。问题是，当我为浏览器使用创建一个API密钥时，我只能通过指定引用来保护我的API密钥。现在我没有移动设备的推荐人，所以我能做些什么来避免其他人也可以使用我的API密钥呢？

Answer 1

在我看来，你有两个选择：

1. 您根本无法保证它的安全性，因为为了让某人从您的应用程序中获取密钥，他们需要将其提取出来。在大多数情况下，即使有人获得了密钥，他们是否会将其用于任何恶意，因为他们可以得到自己的钥匙，这是值得怀疑的。这是一个风险，你必须评估一个项目的基础上，并决定它是否是你可以容忍的东西。
2. 第二种选择是将其安全到特定的引用程序，然后欺骗设备上的web视图使用的引用者。关于如何做到这一点，堆栈溢出有几个例子。请参阅Specifying HTTP referer in embedded UIWebView

无论哪种方式，仍然有可能有人得到你的钥匙，并使用它来代表你提出要求。他们可以自己欺骗引用者，即使你走了这条路线，因为它是由客户端浏览器提供的头。

Answer 2

我认为最好的方法是创建一个代理服务器，它使用服务器密钥调用API，并在其中要求用户使用userID登录(如果您的应用程序需要登录)或可能是设备id。至少你对正在发生的事情有一定的控制。