Nit*_*sra 5 security api android google-api secure-coding
我目前正在开发一个使用Google Blogger API的项目.前天(星期六)有人攻击我的应用程序并获取API密钥,我访问帖子的每日限制是100,000(100K/24小时).我在星期六达到了限制(我怀疑那些是使用我的API密钥进行的欺诈点击,因为我只有4K客户使用该应用程序,我在客户端代码中嵌入了API密钥).
之后,在五分钟内再次达到API限制(24小时后)5K.所以我删除了API密钥并生成了一个新密钥.
我的问题是如何在客户端代码中保护我的新API密钥,以便攻击者无法访问API密钥或至少某些方法间接使用客户端代码中的API密钥.
Google API 控制台可让您将 API 密钥绑定到应用程序的一组签名证书。
如果将 API 密钥限制为几个证书,则该 API 对攻击者来说应该是无用的。(只要您保密您的私钥。)