我正在编写一个使用第三方 API 服务的应用程序(例如 Google 地图、分段分析等...)。所有这些应用程序都会提供一个应该嵌入 JS 代码中的 API 密钥。
因此任何可以检查源的人都知道客户端密钥。这些服务如何防止该密钥的错误使用。假设有人用我的密钥调用这些 API 的次数达到了每日允许的最大 API 调用限制,这将使进一步的实际 API 调用失败。
我知道 Referrer Header 可以用来检查请求来源,但是 Referrer Header 很容易被精明的用户欺骗。
不知道服务方面有没有采取什么措施。看起来是一个非常大的问题。
提前致谢。