如果我编写了一个google应用程序脚本,并且在该脚本中我需要调用第三方API或进行数据库调用,那么管理API密钥和密码的适当方法是什么?
如果我将脚本作为API发布,但不共享对包含谷歌应用程序脚本的谷歌驱动器位置的访问权限,那么将机密直接放在脚本中有风险吗
答案没有对错之分。有许多因素需要考虑:
- 如果这是针对/在G-Suite中,那么您的G-Suite管理员将可以(或可以(访问任何内容。这可能是问题,也可能不是问题
- 如果将数据放在工作表中,任何对该工作表具有读取权限的人都可以看到数据
- 您可以使用
PropertiesService,但人们可以按照文档中的说明进行访问。用户属性是一种方式,但可能不适用于所有用例——比如另一个用户正在执行代码。如果您的用例可以安装触发器,那么您可以使用可安装触发器 - 如果人们需要能够用你的密钥进行API调用,你可以编写一个代理web-app,他们可以调用但看不到其来源
您现在可以创建一个带有隐藏函数的库(使用尾随下划线(,这样其他脚本就无法远程访问隐藏函数。只需将凭据存储在一个隐藏函数中,然后在库脚本中调用该函数,然后从另一个脚本引用库脚本。