API 金鑰是已加密的簡易字串,可用於呼叫Google Cloud API。常見的用途是將 API 金鑰傳遞至 REST API 呼叫,做為查詢參數,格式如下:
http://example-library.googleapis.com/v1/publishers/mypublisher/books?key=API_KEY
API 金鑰提供程式輔助介面,可供您建立及管理專案的 API 金鑰。與控制台 Google Cloud 中與 API 金鑰相關的工作相比,這個方法可讓您更全面地控管 API 金鑰。
如要進一步瞭解如何向 Google Cloud API 進行驗證,以及如何針對常見情境決定最佳驗證策略,請參閱「驗證總覽」。 如要進一步瞭解如何為 Google 地圖平台 API 和 SDK 使用 API 金鑰,請參閱 Google 地圖平台說明文件。
保護 API 金鑰
在應用程式中使用 API 金鑰時,請確保儲存和傳輸期間的金鑰安全無虞。 公開您的憑證可能會使您的帳戶遭到盜用,導致您的帳戶產生意外的費用。 為確保您 API 金鑰的安全,請遵循下列最佳做法:
不要直接在程式碼中嵌入 API 金鑰。嵌入程式碼中的 API 金鑰可能會意外公開。舉例來說,您可能會忘記從共用的程式碼中移除金鑰。請勿在應用程式中嵌入 API 金鑰,建議做法是將這類資訊放在環境變數中,或放在應用程式原始碼樹狀結構外的檔案內。
對 API 金鑰新增限制。 新增限制後,即使 API 金鑰遭駭,影響也會降到最低。
刪除不需要的 API 金鑰以盡量減少被攻擊的可能。
定期輪替 API 金鑰。如要輪替 API 金鑰,請呼叫
CreateKey方法。建立替換金鑰後,請更新應用程式以使用新產生的金鑰,並刪除舊金鑰。在公開釋出程式碼之前再檢查一次。在公開程式碼之前,請確保您的程式碼不包含 API 金鑰或任何其他私人資訊。