フロントエンドAPIトークンの公開

Question

私の質問は単純で一般的です：RESTFUL APIを呼び出しているときは、それが私のものであろうと外的なものであろうとも、トークンをフロントエンドに公開するのが一般的ですか？

<script src="https://maps.googleapis.com/maps/api/js?key=YOUR_API_KEY&callback=initMap" 
    async defer></script> 

あなたのAPIキーを確認するためにすべてのためのフロントエンドに露出しているという事実[OK]をされています。たとえば、GoogleマップのAPIのドキュメントでは、彼らが次のコードを示唆しますか？私はグーグルがアクセスを制限するオプションを持っているので、それを解決できると思いますが、そのオプションを与えない他のサービスはどうですか？

私のトークンを保護するために私のAPIコールをバックエンドに保つ方が良いですか？データを非同期的に取得できないため、バックエンドでデータを取得できないと思います。

Answer 1

つまり、HTTPリファラーヘッダーをスプーフィングすることができれば、他のAPIキーをサイト内で使用することは可能ですあなたも、あなたのクライアントのブラウザ上でこれらの

1. フルコントロールのいずれかを持っている完全にあれば、彼のクォータを飽和することができ、実際.INクライアントシステムは
2. は、あなたがの膨大なコレクションを所有する（HTTPヘッダを操作するためには、サーバをGoogleに送信することがあります）ユニークなIPアドレス（あなたがfreakingly豊かで、あなたが人生で残されている唯一の動機が彼のクォータxDを空にすることである場合にのみ試してください）
3. Idk atmは私が何かもっと学んだり、誰かが何かコメントしたら教えてくれます