當我創建API密鑰,有一個選項是這樣的:如何在Google身份驗證中將api密鑰用於公開請求?
爲了使這個密鑰成爲私人的,我已經進入了localhost:44397。
但問題是:使用密鑰的請求不會以localhost:44397開頭。
它看起來像:
https://www.googleapis.com/plus/v1/people/ {用戶id}欄=圖像&鍵= {API_KEY}
所以,我不能使用該請求的關鍵。
另一種選擇:如果我選擇None爲Key restriction,這意味着密鑰是公共的。那不是我的目標。
我的問題:我怎樣才能使用這個密鑰作爲私鑰?
謝謝!
可選的「接受來自這些HTTP引用者的請求」是Google API將接受請求的HTTP查閱者的「白名單」。因此,如果您希望只有您的網站能夠使用您的API密鑰發出請求,您可以在那裏添加您的網站,如*.mysite.com/*所示,這意味着Google會接受來自mysite.com域或子域的任何請求。
您需要將您作爲Google API請求一部分包含的API密鑰視爲公共。人們會在圖像源的URL中看到它(我在這裏假設你如何使用它)。
所以你想限制你的公鑰的使用方式,說它只能與來自特定域的請求一起使用。
但是不能引用欺騙?這裏有一個非常好的Q/A主題:How does Google Maps secure their API Key? How to make something similar?
謝謝,該請求是從我的網站發送的,但url是'https://www.googleapis.com/..........'。所以,我不能進入它。如果我輸入'mysite.com/*',請求'https://www.googleapis.com/.......'將返回'403' – Vayne
您的網站的域名是什麼? googleapis.com與* Key Restriction *區域沒有任何關係。 – ficuscr
對,所以這對我很有用,因爲你沒有HTTP引用關鍵字限制,所以有了stackoverflow.com是引用者不是障礙。如果你想「限制」它(你打電話給*私人*),然後設置域限制。 – ficuscr
你困惑兩件事?一個是對來自客戶端的請求進行身份驗證,另一個是將服務器接受請求的客戶端列入白名單。 – ficuscr
@ficuscr是的,男人。你有什麼想法的東西? – Vayne