首先，这个问题与question密切相关，即使它不是重复的。据我了解，当我限制我的api密钥时，除非我在请求中包含SHA-1认证指纹和软件包名称，否则Google无法理解我的应用正在发出请求。如果我不这样做，即使我的应用正在发出请求，结果也将返回空/空，表明我使用的api密钥受到限制。当我尝试使用placeId进行请求以从

 https://maps.googleapis.com/maps/api/place/details/json?placeid=$placeId&fields=opening_hours&key=MYKEY"

但使用Google提供的SDK时不受限制。（换句话说，我可以获取PlacesAutoComplete提供的初始数据，但如果不添加Web请求就无法获取其他数据我请求的标题）

1）有什么解决办法吗？攻击者无法找出我的证书指纹并提出一个假装他是我的请求。 2）如果找不到解决方案，为什么还要限制我的API密钥。尽管我不是安全专家，但是任何可以以某种方式学习我的API密钥的人都可以学习我的证书指纹。除了让攻击者在请求中添加标头，让攻击者浪费生命的1分钟之外，此限制是否对我有任何帮助？将这些信息发送到Web请求不是很危险吗？