Visão geral das chaves de API

Uma chave de API é uma string criptografada simples que pode ser usada ao chamar APIsGoogle Cloud . É comum transmitir essa chave como parâmetro de consulta nas chamadas da API REST com o seguinte formato:

http://example-library.googleapis.com/v1/publishers/mypublisher/books?key=API_KEY
 As chaves de API são úteis para acessar dados públicos de forma anônima e são usadas para associar solicitações de API ao projeto do consumidor Google Cloud para cotas e faturamento.

As chaves de API oferecem uma interface programática para criar e gerenciar chaves de API para seu projeto. Ele oferece mais controle sobre as chaves de API do que as tarefas relacionadas a chaves de API que você pode realizar no console Google Cloud .

Para saber mais sobre a autenticação nas APIs do Google Cloud e determinar a melhor estratégia de autenticação para cenários comuns, consulte Visão geral da autenticação. Para saber mais sobre como usar chaves de API para SDKs e APIs da plataforma do Google Maps, consulte a documentação da Plataforma Google Maps.

Como proteger uma chave de API

Ao usar chaves de API nos seus aplicativos, garanta que elas sejam mantidas em segurança durante o armazenamento e a transmissão. A exposição pública das credenciais pode resultar no comprometimento da sua conta, o que pode gerar cobranças inesperadas. Para manter as chaves de API em segurança, siga estas práticas recomendadas:

  • Não incorpore as chaves de API diretamente no código, elas podem ser expostas acidentalmente. Por exemplo, caso você se esqueça de remover as chaves do código compartilhado. Em vez de incorporá-las nos aplicativos, armazene essas chaves em variáveis de ambiente ou em arquivos fora da árvore de origem do seu aplicativo.

  • Adicione restrições à chave de API. Ao adicionar restrições, é possível reduzir o impacto de uma chave de API comprometida.

  • Exclua chaves de API desnecessárias para minimizar a exposição a ataques.

  • Troque as chaves de API periodicamente. Para trocar as chaves de API, chame o método CreateKey. Depois que as chaves de substituição forem criadas, atualize seus aplicativos para usar as chaves recém-geradas e exclua as antigas.

  • Revise o código antes de liberá-lo publicamente. O código não deve conter chaves de API ou outras informações confidenciais ao ser disponibilizado publicamente.

A seguir