我正在构建一个使用Google的YouTube Data API v3的Electron应用程序。为了访问API,我决定使用标准API密钥(而不是OAuth,因为我不会访问任何个人数据)。
但问题是,我不能在我的应用程序中隐藏API密钥,我也不能使用引荐来源限制(引荐来源网址限制允许您过滤哪些网站可以使用您的API密钥(通过HTTP地址)),因为这是一个Electron应用程序。所以基本上,如果有人查看源代码(甚至只是查看开发人员工具),他们可以看到密钥,并自由使用它。
关于该怎么做的任何建议?谢谢。
对于
不需要用户注册或登录的应用程序,保护 API 密钥的唯一方法是将其放在服务器代理后面。因此,当他们启动应用程序时,应用程序会联系您的服务器,然后服务器返回 API 密钥,因此它仅以动态形式驻留在应用程序中,用户永远不会看到它。
但是,如果他们使用数据包嗅探器或本地代理,他们可以获取您的令牌,这仍然是不安全的。
执行此操作的最安全方法是从您的应用有权访问的专用服务器发出所有 API 请求。因此,该应用程序不会向Youtube发出任何请求,它仅从您的服务器获取数据。
然后,您可以通过使用私钥对专用服务器的 API 请求进行签名来保护应用。例如,您可以在应用中有一个配置文件,其中包含在每个 API 请求的标头中发送的私钥。然后,他们获取密钥的唯一方法是反编译您的应用程序,然后访问该配置文件,然后使用相同的私人信息向您的私人服务器发出 API 请求。然后,为了防止恶意用户,您可以监控流量并设置请求限制,例如每个应用每秒 1 个请求。任何超过该限制的应用程序都可能被列入 DDOS 攻击或恶意用户的黑名单。
数据流如下所示。
App -> Server (with Api Key) -> youtube (data) -> Server (data) -> App