URLベースのAPIキーの制限：検証はどのように機能しますか？

Question

私は、GoogleがGoogle Mapsサービスを保護するために使用しているような、URLベースのAPIキーの制限がどのように機能するかを知りたいと考えています。

私がこの記事「Restricting Access to Ajax Services」から理解しているところには、2つの部分があります。まず、一方向ハッシュ関数を使用して、サービスが特定のドメインの特定のキーを作成します。 2番目のサービスはRefererヘッダーに基づいてキーを検証します。

記事は非常に説明していますが、検証方法がどれほど安全であるかを理解するためにはまだ問題があります。つまり、キーがリファラーに対してのみチェックされていれば、これは簡単ではないのですか？私はホストファイルのシンプルな "127.0.0.1 www.mydomain.com"がバリデーションを騙して、リファラーがwww.mydomain.comだと思うと思っています。

私はいくつかのことを誤解しているかもしれませんが、いくつかの説明を理解できます。

Answer 1

引用した記事の「制限」セクションには、リファラーのなりすましの可能性が記載されています。

ホストファイルを変更すると、参照先を偽造するには十分ですが、ご自分のコンピュータからサイトにアクセスしている場合のみです。つまり、ローカルでテストするときだけライセンスを乱用することができます。それはあまり面白い虐待ではありません。

ローカルで実行し、実行からAPIを使用している場合を除き、あなたはすべての完全な制御にはおそらくなら、その場合には、みんなのブラウザでリファラを偽装する必要があるだろうにアプリを公開するためには、ヘッダー。