问YouTube API密钥安全-我应该有多担心？

EN

对于简单存取到Google，API键是请求所需的唯一凭证，它是应用程序/项目的唯一标识符。它提供API访问，并受配额限制。

，你应该保守秘密！

如果您有一个客户端专用应用程序(没有服务器)，那么使用OAuth 2.0客户端流。

来自Google的文档

安全使用API键的最佳实践： 当您在应用程序中使用API密钥时，请注意确保它们的安全。公开您的凭据可能会导致您的帐户被破坏，这可能导致您的帐户上的意外费用。为了确保API密钥的安全，请遵循以下最佳实践：

• 不直接将API键嵌入到代码中。 嵌入在代码中的API密钥可能会意外地向公众公开--例如，如果您忘记从您共享的代码中删除密钥。与其在应用程序中嵌入API键，不如将它们存储在环境变量或应用程序源树之外的文件中。
• 不将API键存储在应用程序源代码树中的文件中 如果将API密钥存储在文件中，请将这些文件保存在应用程序的源代码树之外，以帮助确保您的密钥不会最终出现在源代码控制系统中。如果使用公共源代码管理系统(如GitHub )，这一点尤为重要。
• 限制API密钥仅供需要它们的IP地址、引用者URL和移动应用程序使用。 通过限制可以使用每个密钥的IP地址、引用者URL和移动应用程序，您可以减少受损API密钥的影响。您可以通过打开凭据页面，然后用您想要的设置创建一个新的API键，或者编辑API键的设置，从而指定可以使用Google开发人员控制台中的每个键的主机和应用程序。
• 删除不需要的API键 若要尽量减少受攻击的风险，请删除不再需要的任何API密钥。
• 定期重新生成API密钥。 您可以通过打开凭据页面并单击每个键的重新生成键，从Google开发人员控制台重新生成API密钥。然后，更新应用程序以使用新生成的密钥。在生成替换密钥后，您的旧密钥将继续工作24小时。
• 在公开发布代码之前检查代码 在使代码公开之前，请确保代码不包含API密钥或任何其他私有信息。