我正在做一个简单的前端项目,我(或用户)在其中对 openweathermap api 进行 API 调用,获取天气信息并将其显示在网站上。
简单的 HTML、CSS 和 vanilla JS
所以我想保持 repo 公开并使用 GitHub Pages 托管站点......但我的 js 文件包含运行时所需的 API key 。
额外信息:
(所有这些都是我搜索时发现的)
我知道有一种方法可以将 API key 保存在 GitHub secret 中,然后在 yml 文件中将其作为 GitHub Actions 中的环境变量引用。
但是如何在运行时为访问我网站的任何用户将该 secret 放入 js 代码中?
最佳答案
请注意,您尝试执行的操作并不安全。即使有一种方法可以让 GH Pages 在请求时将 secret API key 注入(inject)到 js 文件中,每个 Web 客户端都会有一个该 js 文件的副本,其中嵌入了明文 key 。
您将需要某种最小的后端来安全地存储 API key 并将来自静态网页的调用中继到 openweathermap API。
有很多方法可以设置这样的后端。 older question评论中的链接讨论了一些方法。请注意,现在,您可以使用无服务器 FaaS 服务,例如 AWS Lambda或 Azure Functions .
顺便说一句,这是一个完全有效的问题,您当然不会“太愚蠢”。祝你好运!
关于github-pages - 如何在 GitHub 公共(public)存储库中隐藏 API key ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/65509794/