מפתח API הוא מחרוזת מוצפנת פשוטה שאפשר להשתמש בה כשקוראים ל-Google Cloud APIs. שימוש אופייני במפתח API הוא העברת המפתח לקריאה ל-API ל-REST כפרמטר של שאילתה, לפי הפורמט הבא:
http://example-library.googleapis.com/v1/publishers/mypublisher/books?key=API_KEY
ממשקי API מספקים לכם ממשק פרוגרמטי ליצירה ולניהול של מפתחות API לפרויקט. הוא מאפשר לכם שליטה רבה יותר במפתחות API מאשר המשימות שקשורות למפתחות API שאפשר לבצע במסוף Google Cloud .
למידע נוסף על אימות לממשקי Google Cloud API ועל קביעת אסטרטגיית האימות הטובה ביותר לתרחישים נפוצים, קראו את הסקירה הכללית על אימות. למידע נוסף על השימוש במפתחות API לממשקי API וערכות SDK בפלטפורמה של מפות Google, קראו את מסמכי התיעוד לפלטפורמה של מפות Google.
אבטחת מפתח API
בזמן השימוש במפתחות API באפליקציות שלכם, צריך לוודא שהן מאובטחות במהלך האחסון ובמהלך ההעברה. חשיפת פרטי הכניסה באופן ציבורי עלולה לגרום לפריצה לחשבון שלכם, מה שעלול להוביל לחיובים לא צפויים בחשבון. כדי לוודא שמפתחות ה-API מאובטחים, כדאי לפעול לפי השיטות המומלצות הבאות:
לא להטמיע מפתחות API ישירות בקוד. מפתחות API שמוטמעים בקוד עלולים להיחשף בטעות באופן ציבורי. למשל, אם שכחתם להסיר את המפתחות מקוד שאתם משתפים. במקום להטמיע את מפתחות ה-API באפליקציות, כדאי לאחסן אותם במשתני סביבה או בקבצים מחוץ לעץ המקור של האפליקציה.
הוספת הגבלות על מפתח ה-API. ההוספה של הגבלות מפחיתה את ההשפעה של מפתח API שנמצא בסיכון.
למחוק מפתחות API שכבר לא נחוצים כדי לצמצם את החשיפה להתקפות.
מדי פעם להחליף את מפתחות ה-API. כדי להחליף את מפתחות ה-API, קוראים ל-method
CreateKey. אחרי שיוצרים את המפתחות החלופיים, צריך לעדכן את האפליקציות כדי להשתמש במפתחות החדשים שנוצרו ולמחוק את המפתחות הישנים.לבדוק את הקוד לפני שמפיצים אותו באופן ציבורי. לפני שהקוד הופך לזמין לציבור, חשוב לוודא שהוא לא מכיל מפתחות API או מידע פרטי אחר.