使用服务器代理隐藏第三方API密钥

Question

我需要在我的客户端JS中使用第三方API调用，我知道一种方法是使用服务器代理(例如，www.myserver.com/getdata/)，它可以调用API并将结果返回给前端。我的问题是，即使我使用服务器代理，其他人也不能通过调用我的服务器代理而不是直接调用第三方来间接使用我的第三方API密钥。

Answer 1

我认为标题具有误导性，所以我将尝试回答正文中所述的问题。是也不是:他们可以间接使用第三方API密钥，但您可以完全控制他们可以看到的数据。您还可以在将用户输入提交给第三方之前对其进行验证。想象一下一个支付API:你真的想让用户控制你想要向他们收取的金额吗？

换句话说:如果第三方的API密钥被认为是保密的，那么将其放在客户端可能不是一个好主意。