我已经研究过,如果我想隐藏我的API密钥,则必须通过后端进行请求。
隐藏API密钥的最佳方法是什么? 而且,请不要建议使用环境变量,我想知道最佳实践,即通过服务器向API服务器发出API请求。
happy219 回答:如何从前端通过服务器发出API请求,这样最终用户看不到我的API密钥?
很遗憾,由于您的要求不建议这样做,因此ENV变量是一种行业标准。这样操作:
- 您不必将API密钥提交到代码存储库
- 您可以随时更改它们,然后重新启动系统以进行选择,或者以每次需要时都重新选择它们的方式进行编码
- 它们最终不会出现在世界上都可以看到的UI代码中,并随后出现在您发送的每个请求中。
另一种方法是将凭据值存储在某个地方的数据库中。但是那里有鸡肉/鸡蛋的情况。您将在哪里存储数据库凭据,以便访问数据库?无法进入数据库,因为您将无法读取它们。您必须将它们放在环境变量中,或者在代码存储库中提交数据库凭据-这绝不是最佳实践。