আমার গুগল ম্যাপস এপিআই কী রক্ষা করতে আমার কী পদক্ষেপ নেওয়া উচিত?


98

আমি আমার ডোমেনের জন্য একটি Google মানচিত্র এপিআই কী পেয়েছি।

যখন আমি আমার কী পেয়েছি তখন প্রদত্ত উদাহরণগুলি অনুরোধ পরামিতিগুলিতে এম্বেড করা কীটি দেখায়, উদাহরণস্বরূপ:

<script src="http://maps.google.com/maps?file=api&amp;v=2&amp;sensor=true_or_false&amp;key=my-key" type="text/javascript"></script>

আমি প্রশংসা করি যে অনুরোধগুলিতে রেফারার ক্ষেত্রটি অবশ্যই আমার ডোমেনের সাথে মিলে যায়, আমার কী কী স্ক্রিপ্ট ট্যাগগুলিতে এবং এর মতো দৃশ্যমান করা নিরাপদ? বা আমার অন্য কোন পদক্ষেপ নেওয়া উচিত?

উত্তর:


92

গুগলের <script>সার্ভারগুলি থেকে জেএস ফাইল / ডেটা লোড করতে আপনার এইচটিএমএল পৃষ্ঠাগুলির ট্যাগগুলিতে কীটি অন্তর্ভুক্ত করতে হবে তা বিবেচনা করে, আপনি করার মতো কিছুই নেই:

  • আপনার এটি অবশ্যই আপনার এইচটিএমএল ফাইলগুলিতে রাখা উচিত
  • প্রত্যেকে সেগুলি একবার দেখে নিতে পারে।

তবুও, এটি আসলে গুরুত্বপূর্ণ নয়: যদি কেউ আপনার চেয়ে অন্য ডোমেনে এই কীটি ব্যবহার করার চেষ্টা করে তবে তারা একটি জাভাস্ক্রিপ্ট সতর্কতা পেয়ে যাবে - এটি থ্র ব্যবহারকারীদের পক্ষে ভাল নয়।

সুতরাং:

  • এখানে আপনার কিছু করার মত নেই ; এটি এইভাবে কাজ করে
  • এবং আপনার খুব বেশি চিন্তা করা উচিত নয়, আমি বলব।

4
আমি মনে করি আপনি নিজের সাইটে এমন একটি প্রক্সি ব্যবহার করতে পারেন যা "আসল" ফাইল আনার জন্য কীটি ব্যবহার করেছিল। পুরোপুরি অর্থহীন, হ্যাঁ, তবে আমি মনে করি এটি সম্ভব possible
টিম সিলভেস্টার

4
আমি যদি কিছু মিস করি তবে এটি চেক করা উচিত বলে মনে হয়েছে। যারা উত্তর দিয়েছে তাদের চিয়ার্স।
ব্র্যাবস্টার

@ টিম: নিশ্চিত নয়; আমি নিজেই জেএস কোডটি অনুমান করছি যদি মানচিত্রটি প্রদর্শন করে এমন সাইটের ডোমেন নামটি চুরি করে নিয়ে যায় এবং এটি মনে হয় যে এটি এটি কোনও উপায়ে, কীটির সাথে অন্তর্ভুক্ত একটি তথ্য সহ এটির সাথে তুলনা করেছে - তবুও, আমি করেছি চেষ্টা না। ;;; @ ব্র্যাবস্টার: :-)
পাস্কাল মার্টিন

4
উদাহরণস্বরূপ, আমরা যদি আমাদের এপিআই কী ব্যবহার করে ব্যান্ডউইথ ব্যবহার রক্ষা করতে পারি তবে এটি গুরুত্বপূর্ণ। আমার সমাধান পরীক্ষা করে দেখুন।
ইফান ইকবাল

4
এবং যদি আমি নিজের অ্যাপ্লিকেশন (উইন্ডোজ / আইওএস / অ্যান্ড্রয়েড) এপিআই কী ব্যবহার করি? আমি রেফারারকে অনুকরণ করতে পারি এবং আপনার মূল্যে এই কীটি আমার নিজের উদ্দেশ্যে ব্যবহার করতে পারি!
লোকি

22

গুগল এপিআই কনসোলটিতে সেটিংস রয়েছে যা আপনার এপিআই ব্যান্ডউইথ ব্যবহার অন্য ডোমেন / ব্যবহারকারীর দ্বারা ব্যবহার থেকে রক্ষা করতে পারে। আপনি API কনসোলে রেফারার ব্যবহার করে এটি সীমাবদ্ধ এবং সুরক্ষা দিতে পারেন। API কী আপনার রেফারেন্সগুলির সাথে মিলে এমন রেফারার ছাড়াই অনুরোধগুলি প্রত্যাখ্যান করবে।

গুগল থেকে এপিআই কী এর স্ক্রিনশট যা কেবলমাত্র গুগল তার দুটি ডোমেন ব্যবহার করতে পারে। এখানে চিত্র বর্ণনা লিখুন


4
মোবাইল ব্যবহারকারীদের সম্পর্কে কী?
মুহাম্মদ উমর

কিছুটা যুক্ত করার জন্য, বিশদগুলি এখানে বিকাশকারীরা
ম্যাপস /…

15

যদিও এই প্রশ্নটি কয়েক বছরের পুরনো এটি খুব ভাল একটি প্রশ্ন। আমি বুঝতে পারছি এপিআই কীগুলি বহিঃপ্রকাশ করা, যদিও সেগুলি ডোমেনের সাথে মিলে যায়, এখনও অপব্যবহারের দিকে নিয়ে যেতে পারে। সিকিউরিটি স্ট্যাক এক্সচেঞ্জে এখানে একটি পোস্ট রয়েছে যা এটি আরও বিস্তারিতভাবে কভার করে।

সম্ভাব্য অপব্যবহার এড়াতে আপনি যে পদক্ষেপ নিতে পারেন তা গুগল এখানে প্রকাশ করেছে:

সুরক্ষিতভাবে API গুলি ব্যবহারের জন্য সেরা অনুশীলন গাইড: https://support.google.com/cloud/answer/6310037?hl=en

যদিও আমি এটি সমস্ত বোর্ডে নেওয়ার প্রস্তাব দিই, এমন একটি পদ্ধতির সাথে ব্র্যাবস্টার পোস্ট করা নির্দিষ্ট উদাহরণটি মোকাবেলা করবে এবং এটি কী পরিবেশের পরিবর্তনশীলে কী সংরক্ষণ করতে পারে । এইভাবে আপনাকে যা করতে হবে তা হ'ল আপনার প্রকল্পের মধ্যে থাকা সার্ভার-সাইড ভেরিয়েবলের কীটি বিকল্পযুক্ত করা। তবে নিশ্চিত হয়ে নিন যে ফাইলটি কোনও পাবলিক ভান্ডারের কী সংরক্ষণ করে না।


16
আমিও অনুভব করি যে এই উত্তরটি প্রশ্নের সমাধান করে না। মানচিত্রের এপিআই-এর ব্রাউজারের পাশের জাভাস্ক্রিপ্টের প্রয়োজন হয়, যা পৃষ্ঠাটি আনতে পারে তার দ্বারা সর্বদা পঠনযোগ্য।
ডেভিড ভ্যানটি

-1

কীটি সুরক্ষিত করতে এবং পরিচালনা করতে আপনার পিছনে / সার্ভারের দিকটি ব্যবহার করা উচিত। আমার ক্ষেত্রে আমি জ্যাঙ্গো এফ / ডাব্লু সার্ভার সাইডটি ব্যবহার করেছি যা সার্ভার স্ক্রিপ্ট / ডিবি থেকে কীটি পাওয়ার জন্য একটি অজ্যাক্স কল পরিবেশন করতে পারে তবে এটি গুগল এপিআইতে পাস করতে পারে।


4
যদি আপনার এপিআই কীটি ব্রাউজারে পৌঁছে যায় তবে এটি তৃতীয় পক্ষের দ্বারা পুনরুদ্ধার করা যেতে পারে।
লুজ 25
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.