我研究过,如果我想隐藏我的 API key ,我必须通过后端执行请求。
隐藏 API key 的最佳方法是什么? 并且请不要建议使用环境变量,我想知道通过服务器向 API 服务器发出 API 请求的最佳实践。
最佳答案
不幸的是,根据您不建议的要求,ENV 变量是一个行业标准。通过这样做:
- 您不必将 API key 提交到代码存储库
- 您可以即时更改它们并重新启动系统以获取它们,或者以每次需要时重新获取它们的方式进行编码
- 它们最终不会出现在您的 UI 代码中,对全世界都可见,也不会在您发送的每个请求中可见。
另一种方法是将凭据值存储在数据库中的某个位置。但这里有先有鸡还是先有蛋的情况。您将在哪里存储数据库凭据以便可以访问数据库?无法进入数据库,因为您无法读取它们。您必须将它们放入环境变量中,或者将数据库凭据提交到代码存储库中 - 这无论如何都不是最佳实践。
关于javascript - 如何通过服务器从前端发出 API 请求,以便最终用户看不到我的 API key ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58793512/