คำแนะนำด้านความปลอดภัยของ Google Maps Platform

แอปและโปรเจ็กต์ที่ใช้ Google Maps Platform APIs และ SDK ต้องใช้ คีย์ API หรือ OAuth 2.0 (หากรองรับ) เพื่อตรวจสอบสิทธิ์ของตัวเอง

แนวทางปฏิบัติแนะนำเหล่านี้จะแสดงวิธีรักษาความปลอดภัยในการเข้าถึง Maps Platform

หากต้องการใช้ OAuth 2.0 เพื่อให้สิทธิ์การรับส่งข้อมูลจากเซิร์ฟเวอร์ถึงเซิร์ฟเวอร์ ให้ค้นหาหัวข้อ OAuth ในเอกสารประกอบ API ดูรายละเอียดเพิ่มเติมได้ที่ใช้ OAuth สำหรับแอปฝั่งเซิร์ฟเวอร์

นอกเหนือจากการใช้การจำกัดแอปพลิเคชันและคีย์ API แล้ว ให้ปฏิบัติตาม แนวทางปฏิบัติด้านความปลอดภัยที่ใช้กับผลิตภัณฑ์ Google Maps Platform บางอย่างด้วย เช่น ดู Maps JavaScript API ด้านล่างในการจำกัดแอปพลิเคชันและ API ที่แนะนำ

หากมีการใช้คีย์ API อยู่แล้ว โปรดดูคำแนะนำด้านล่างในส่วนหากคุณกำลังจำกัดคีย์ API ที่ใช้งานอยู่

ดูรายละเอียดเพิ่มเติมเกี่ยวกับลายเซ็นดิจิทัลที่ Maps Static API และ Street View Static API รองรับได้ที่คู่มือลายเซ็นดิจิทัล

แนวทางปฏิบัติแนะนำ

เพื่อเพิ่มความปลอดภัยและหลีกเลี่ยงการเรียกเก็บเงินสำหรับการใช้งานที่ไม่ได้รับอนุญาต โปรดปฏิบัติตาม แนวทางปฏิบัติแนะนำด้านความปลอดภัยของ API เหล่านี้สำหรับ Google Maps Platform API, SDK หรือ บริการทั้งหมด

จำกัดคีย์ API

ใช้คีย์ API แยกต่างหากสำหรับแต่ละแอป

ลบคีย์ API ที่ไม่ได้ใช้

ตรวจสอบการใช้คีย์ API

โปรดระมัดระวังเมื่อหมุนเวียนคีย์ API

แยกการใช้งานฝั่งไคลเอ็นต์และฝั่งเซิร์ฟเวอร์ออกเป็นโปรเจ็กต์แยกกัน

ปิดใช้บริการที่ไม่ได้ใช้

คำแนะนำเพิ่มเติมสำหรับแอปฝั่งไคลเอ็นต์

ใช้ SDK ฝั่งไคลเอ็นต์

การเรียกใช้บริการเว็บฝั่งไคลเอ็นต์ที่ปลอดภัย

คำแนะนำเพิ่มเติมสำหรับเว็บไซต์หรือแอปฝั่งไคลเอ็นต์ที่ใช้ Static Web API

ปกป้องการใช้งาน Static Web API

คำแนะนำเพิ่มเติมสำหรับแอปฝั่งเซิร์ฟเวอร์ที่ใช้บริการเว็บ

ปกป้องคีย์ API ของบริการเว็บ

ใช้ OAuth สำหรับแอปฝั่งเซิร์ฟเวอร์

หากคุณจำกัดหรือหมุนเวียนคีย์ API ที่ใช้งานอยู่

  • ก่อนที่จะเปลี่ยนคีย์ API ให้ตรวจสอบการใช้งานคีย์ API ขั้นตอนนี้มีความสำคัญอย่างยิ่งหากคุณกำลังเพิ่มข้อจำกัดสำหรับคีย์ที่ใช้งานอยู่ในแอปพลิเคชันเวอร์ชันที่ใช้งานจริงอยู่แล้ว

  • หลังจากเปลี่ยนคีย์แล้ว ให้อัปเดตแอปทั้งหมดด้วยคีย์ API ใหม่ตามที่ จำเป็น

  • หากคีย์ API ไม่ได้ถูกบุกรุกและไม่ได้ถูกละเมิดอย่างต่อเนื่อง คุณสามารถย้ายข้อมูลแอปไปยังคีย์ API ใหม่หลายรายการได้ตามต้องการ โดยไม่ต้อง แตะต้องคีย์ API เดิมจนกว่าจะเห็นการเข้าชมประเภทเดียวเท่านั้น และจำกัดคีย์ API ได้อย่างปลอดภัยด้วยข้อจำกัดของแอปพลิเคชันประเภทเดียว โดยไม่ทำให้เกิดการหยุดชะงักของบริการโดยไม่ตั้งใจ

    ดูวิธีการเพิ่มเติมได้ที่ย้ายข้อมูลไปยังคีย์ API หลายรายการ

    ตรวจสอบการใช้งานเมื่อเวลาผ่านไป และดูว่าเมื่อใดที่ API, ประเภทแพลตฟอร์ม และโดเมนที่เฉพาะเจาะจงได้ย้ายข้อมูลออกจากคีย์ API เก่าแล้ว ก่อนที่จะเลือกจำกัดหรือลบคีย์เก่า ดูข้อมูลเพิ่มเติมได้ที่การรายงานและการตรวจสอบ และเมตริก

  • หากคีย์ API ถูกบุกรุก คุณจะต้องดำเนินการอย่างรวดเร็วเพื่อรักษาความปลอดภัยของคีย์ API และหยุดการละเมิด ในแอป Android และ iOS ระบบจะไม่ แทนที่คีย์จนกว่าลูกค้าจะอัปเดตแอป การอัปเดตหรือแทนที่คีย์ใน หน้าเว็บหรือในแอปฝั่งเซิร์ฟเวอร์นั้นตรงไปตรงมามากกว่า แต่ก็ ยังต้องมีการวางแผนอย่างรอบคอบและการทำงานที่รวดเร็ว

    ดูข้อมูลเพิ่มเติมได้ที่ จัดการการใช้คีย์ API โดยไม่ได้รับอนุญาต

ข้อมูลเพิ่มเติม

การจำกัดแอปพลิเคชันและ API ที่แนะนำ

จำกัดคีย์ API

แนวทางปฏิบัติแนะนำคือการจำกัดคีย์ API ด้วยการจำกัดแอปพลิเคชันประเภทหนึ่งและการจำกัด API อย่างน้อย 1 รายการเสมอ ดูข้อจำกัดที่แนะนำตาม API, SDK หรือบริการ JavaScript ได้ที่ข้อจำกัดของแอปพลิเคชันและ API ที่แนะนำด้านล่าง

  • การจำกัดแอปพลิเคชัน คุณสามารถจำกัดการใช้คีย์ API สำหรับแพลตฟอร์มที่เฉพาะเจาะจง ได้แก่ แอปพลิเคชัน Android หรือ iOS หรือเว็บไซต์ที่เฉพาะเจาะจงสำหรับแอปพลิเคชันฝั่งไคลเอ็นต์ หรือที่อยู่ IP หรือเครือข่ายย่อย CIDR ที่เฉพาะเจาะจงสำหรับแอปฝั่งเซิร์ฟเวอร์ที่ออกการเรียก REST API ของเว็บเซอร์วิส

    คุณจำกัดคีย์ได้โดยการเพิ่มการจำกัดแอปพลิเคชันอย่างน้อย 1 รายการของ ประเภทที่ต้องการให้สิทธิ์ หลังจากนั้นระบบจะอนุญาตเฉพาะคำขอที่มาจาก แหล่งที่มาเหล่านี้เท่านั้น

  • การจำกัด API คุณสามารถจำกัด API, SDK หรือบริการของ Google Maps Platform ที่ใช้คีย์ API ได้ ข้อจำกัด API จะอนุญาตเฉพาะคำขอไปยัง API และ SDK ที่คุณระบุเท่านั้น คุณระบุข้อจำกัด API ได้มากเท่าที่ต้องการสำหรับคีย์ API ใดก็ตาม รายการ API ที่พร้อมใช้งาน ประกอบด้วย API ทั้งหมดที่เปิดใช้ในโปรเจ็กต์

ตั้งค่าข้อจำกัดของแอปพลิเคชันสำหรับคีย์ API

  1. เปิดหน้าข้อมูลเข้าสู่ระบบของ Google Maps Platform ใน Google Cloud Console

  2. เลือกคีย์ API ที่ต้องการจำกัด

  3. ในหน้าแก้ไขคีย์ API ให้เลือกตั้งค่าการจำกัดแอปพลิเคชันในส่วนการจำกัดคีย์

    แก้ไขหน้าคีย์ API

  4. เลือกประเภทการจำกัดและระบุข้อมูลที่ขอ ตามรายการการจำกัด

    ประเภทข้อจำกัด คำอธิบาย
    เว็บไซต์ ระบุเว็บไซต์อ้างอิงอย่างน้อย 1 เว็บไซต์
    • รูปแบบ URI ของผู้แนะนำที่รองรับโดยทั่วไปคือ https และ http ระบบไม่รับประกันว่ารูปแบบอื่นๆ จะทำงานได้อย่างถูกต้อง เนื่องจากเว็บเบราว์เซอร์สมัยใหม่จะไม่ส่งส่วนหัว `Referer` ในคำขอขาออกด้วยเหตุผลด้านความเป็นส่วนตัว
    • ระบุสตริงผู้อ้างอิงทั้งหมดเสมอ รวมถึงรูปแบบโปรโตคอล ชื่อโฮสต์ และพอร์ตที่ไม่บังคับ (เช่น https://google.com)
    • คุณสามารถใช้อักขระไวลด์การ์ดเพื่อให้สิทธิ์โดเมนย่อยทั้งหมดได้ ตัวอย่างเช่น https://*.google.com ยอมรับเว็บไซต์ทั้งหมดที่ลงท้ายด้วย .google.com
    • โปรดระมัดระวังเมื่อให้สิทธิ์ผู้เข้าชมแบบเต็มเส้นทาง เช่น https://google.com/some/path เนื่องจากเว็บเบราว์เซอร์ส่วนใหญ่ จะตัดเส้นทางออกจากคำขอข้ามต้นทาง เพื่อเหตุผลด้านความเป็นส่วนตัว
    ที่อยู่ IP ระบุที่อยู่ IPv4 หรือ IPv6 อย่างน้อย 1 รายการ หรือเครือข่ายย่อยโดยใช้รูปแบบ CIDR ที่อยู่ IP ต้องตรงกับที่อยู่ต้นทางที่เซิร์ฟเวอร์ Google Maps Platform สังเกตเห็น หากคุณใช้การแปลที่อยู่เครือข่าย (NAT) ที่อยู่ดังกล่าวมักจะตรงกับที่อยู่ IP สาธารณะของเครื่อง
    แอป Android

    เพิ่มชื่อแพ็กเกจ Android (จากไฟล์ AndroidManifest.xml) และลายนิ้วมือใบรับรองการลงนาม SHA-1 ของแอปพลิเคชัน Android แต่ละรายการที่คุณต้องการ ให้สิทธิ์

    1. เลือกแอป Android
    2. คลิก + เพิ่ม
    3. ป้อนชื่อแพ็กเกจและลายนิ้วมือของใบรับรอง SHA-1 เช่น 
      com.example.android.mapexample
       
      BB:0D:AC:74:D3:21:E1:43:67:71:9B:62:91:AF:A1:66:6E:44:5D:75
    4. คลิกบันทึก

    ใบรับรองมี 2 ประเภท ได้แก่

    • ใบรับรองการแก้ไขข้อบกพร่อง: ใช้ใบรับรองประเภทนี้กับแอปที่คุณกำลังทดสอบและโค้ดอื่นๆ ที่ไม่ใช่เวอร์ชันที่ใช้งานจริงเท่านั้น อย่าพยายามเผยแพร่แอปที่ลงนามด้วยใบรับรองการแก้ไขข้อบกพร่อง เครื่องมือ Android SDK จะสร้างใบรับรองนี้โดยอัตโนมัติเมื่อคุณเรียกใช้บิลด์การแก้ไขข้อบกพร่อง
    • ใบรับรองการเผยแพร่: ใช้ใบรับรองนี้เมื่อคุณพร้อมที่จะเผยแพร่แอปไปยัง App Store เครื่องมือ Android SDK จะสร้างใบรับรองนี้เมื่อคุณเรียกใช้บิลด์ที่เผยแพร่

    ดูข้อมูลเพิ่มเติมเกี่ยวกับการรับรองแอปพลิเคชัน Android และใบรับรองได้ที่คู่มือการรับรองแอป

    หากใช้ Play App Signing ให้ไปที่การทำงานร่วมกับผู้ให้บริการ API เพื่อดึงข้อมูล ลายนิ้วมือของใบรับรองการลงนาม หากคุณจัดการคีย์การลงนามด้วยตนเอง โปรดดู การลงนามในแอปพลิเคชันด้วยตนเอง หรือดูวิธีการสำหรับสภาพแวดล้อมการสร้าง
    แอป iOS

    เพิ่มตัวระบุแพ็กเกจของแอปพลิเคชัน iOS แต่ละรายการที่คุณต้องการ ให้สิทธิ์

    1. เลือกแอป iOS
    2. คลิก + เพิ่ม
    3. เพิ่มรหัสชุดเพื่อยอมรับคำขอจากแอป iOS ที่มีรหัสดังกล่าว
    4. คลิกบันทึก

    ดูคำแนะนำสำหรับการจำกัดแอปพลิเคชันได้ที่การจำกัดแอปพลิเคชัน ที่แนะนำ

  5. เลือกบันทึก

ตั้งค่าข้อจำกัด API สำหรับคีย์ API

  1. เปิดหน้าข้อมูลเข้าสู่ระบบของ Google Maps Platform ใน Google Cloud Console

  2. เลือกคีย์ API ที่ต้องการจำกัด

  3. ในหน้าแก้ไขคีย์ API ภายใต้ข้อจำกัด API:

    • เลือกจำกัดคีย์

    • เปิดเลือก API แล้วเลือก API หรือ SDK ที่คุณต้องการให้แอปพลิเคชันเข้าถึงโดยใช้คีย์ API

    หากไม่มี API หรือ SDK ในรายการ คุณต้องเปิดใช้ โปรดดูรายละเอียดที่หัวข้อวิธี เปิดใช้ API หรือ SDK อย่างน้อย 1 รายการ

    จำกัด API บนหน้าแก้ไขคีย์ API

  4. เลือกบันทึก

    ข้อจำกัดจะกลายเป็นส่วนหนึ่งของคำจำกัดความคีย์ API หลังจากขั้นตอนนี้ โปรดระบุรายละเอียดที่เหมาะสมและเลือกบันทึกเพื่อบันทึก การจำกัดคีย์ API ดูข้อมูลเพิ่มเติมได้ที่คู่มือรับคีย์ API ในเอกสารประกอบสำหรับ API หรือ SDK ที่คุณสนใจ

ดูการจำกัด API ที่แนะนำได้ที่การจำกัด API ที่แนะนำ

ตรวจสอบการใช้งานคีย์ API

หากคุณจำกัดคีย์ API หลังจากที่สร้างแล้ว หรือหากต้องการดูว่า API ใดที่คีย์ใช้เพื่อจำกัด API เหล่านั้น คุณจะต้องตรวจสอบการใช้งานคีย์ API ขั้นตอนเหล่านี้จะแสดงให้เห็นว่ามีการใช้คีย์ API ในบริการและวิธีการ API ใดบ้าง หากเห็นการใช้งานนอกเหนือจากบริการของ Google Maps Platform ให้ตรวจสอบเพื่อดูว่าคุณต้องเพิ่มข้อจำกัดเพิ่มเติมเพื่อหลีกเลี่ยง การใช้งานที่ไม่ต้องการหรือไม่ คุณสามารถใช้เครื่องมือสำรวจเมตริกของ Google Maps Platform Cloud Console เพื่อช่วยพิจารณาการจำกัด API และแอปพลิเคชันที่จะใช้กับ คีย์ API ได้โดยทำดังนี้

ระบุ API ที่ใช้คีย์ API

รายงานเมตริกต่อไปนี้ช่วยให้คุณระบุได้ว่า API ใดใช้คีย์ API ของคุณ ใช้รายงานเหล่านี้เพื่อทำสิ่งต่อไปนี้

  • ดูวิธีใช้คีย์ API
  • ตรวจหาการใช้งานที่ไม่คาดคิด
  • ช่วยยืนยันว่าคีย์ที่ไม่ได้ใช้ปลอดภัยที่จะลบหรือไม่ ดูข้อมูลเกี่ยวกับการ ลบคีย์ API ได้ที่ลบคีย์ API ที่ไม่ได้ใช้

เมื่อใช้การจำกัด API ให้ใช้รายงานเหล่านี้เพื่อสร้างรายการ API ที่จะให้สิทธิ์ หรือเพื่อตรวจสอบคำแนะนำการจำกัดคีย์ API ที่สร้างขึ้นโดยอัตโนมัติ ดูข้อมูลเพิ่มเติมเกี่ยวกับข้อจำกัดที่แนะนำได้ที่ใช้ข้อจำกัดที่แนะนำ ดูข้อมูลเพิ่มเติมเกี่ยวกับการใช้ เครื่องมือสำรวจเมตริกได้ที่หัวข้อสร้างแผนภูมิด้วยเครื่องมือสำรวจ เมตริก

  1. ไปที่เครื่องมือสำรวจเมตริกของ Google Cloud Console

  2. ลงชื่อเข้าใช้และเลือกโปรเจ็กต์สำหรับคีย์ API ที่ต้องการตรวจสอบ

  3. ไปที่หน้าโปรแกรมสำรวจเมตริกสำหรับ API ประเภทของคุณ

  4. ตรวจสอบคีย์ API แต่ละรายการ

    1. เลือกเพิ่มตัวกรอง

    2. เลือกป้ายกำกับ credential_id

    3. เลือกค่าที่สอดคล้องกับคีย์ที่ต้องการตรวจสอบ

    4. โปรดทราบว่ามีการใช้คีย์ API นี้กับ API ใดบ้าง และยืนยันว่าการใช้งานเป็นไปตามที่คาดไว้

    5. เมื่อเสร็จแล้ว ให้เลือกนำตัวกรองออก ที่ท้ายบรรทัดตัวกรองที่ใช้งานอยู่ เพื่อลบตัวกรองเพิ่มเติม

  5. ทำซ้ำสำหรับคีย์ที่เหลือ

  6. จำกัดคีย์ API ให้ใช้เฉพาะ API ที่กำลังใช้งานอยู่

  7. หากพบการใช้งานที่ไม่ได้รับอนุญาต โปรดดูจัดการการใช้งานคีย์ API ที่ไม่ได้รับอนุญาต

เลือกประเภทการจํากัดแอปพลิเคชันที่ถูกต้องโดยใช้เครื่องมือสํารวจเมตริก

หลังจากยืนยันและดำเนินการที่จำเป็นเพื่อให้แน่ใจว่าคีย์ API จะใช้สำหรับบริการ Google Maps Platform ที่ใช้เท่านั้นแล้ว ให้ยืนยันด้วยว่าคีย์ API มีข้อจำกัดของแอปพลิเคชันที่ถูกต้อง

หากคีย์ API มีข้อจำกัดของคีย์ API ที่แนะนำ ให้ใช้ข้อจำกัดเหล่านั้น ดูข้อมูลเพิ่มเติมได้ที่ใช้ข้อจำกัดของคีย์ API ที่แนะนำ

หากคีย์ API ไม่มีคำแนะนำในการจำกัด ให้พิจารณาประเภทของ การจำกัดแอปพลิเคชันที่จะใช้ตามที่รายงานplatform_typeโดยใช้ โปรแกรมสำรวจเมตริก

  1. ไปที่เครื่องมือสำรวจเมตริกของ Google Cloud Console

  2. ลงชื่อเข้าใช้และเลือกโปรเจ็กต์สำหรับ API ที่ต้องการตรวจสอบ

  3. ไปที่หน้าเครื่องมือสำรวจเมตริกนี้: เครื่องมือสำรวจ เมตริก

  4. ตรวจสอบคีย์ API แต่ละรายการ

    1. เลือกเพิ่มตัวกรอง

    2. เลือกป้ายกำกับ credential_id

    3. เลือกค่าที่สอดคล้องกับคีย์ที่ต้องการตรวจสอบ

    4. เมื่อเสร็จแล้ว ให้เลือกนำตัวกรองออก ที่ท้ายบรรทัดตัวกรองที่ใช้งานอยู่ เพื่อลบตัวกรองเพิ่มเติม

  5. ทำซ้ำสำหรับคีย์ที่เหลือ

  6. เมื่อทราบประเภทแพลตฟอร์มสำหรับคีย์ API แล้ว ให้ใช้การจำกัดแอปพลิเคชันสำหรับplatform_typeนั้นโดยทำดังนี้

    PLATFORM_TYPE_JS : ใช้ข้อจำกัดของเว็บไซต์กับคีย์

    PLATFORM_TYPE_ANDROID : ใช้ข้อจำกัดของแอปพลิเคชัน Android กับคีย์

    PLATFORM_TYPE_IOS : ใช้ข้อจำกัดของแอปพลิเคชัน iOS กับคีย์

    PLATFORM_TYPE_WEBSERVICE : คุณอาจต้องอาศัยข้อจำกัดของที่อยู่ IP ในคีย์เพื่อจำกัดคีย์อย่างถูกต้อง

    ดูคำแนะนำสำหรับ Maps Static API และ Street View Static API ได้ที่ ปกป้องการใช้งาน Static Web API

    ดูคำแนะนำสำหรับ Maps Embed API ได้ที่ เว็บไซต์ที่มี Maps Embed API

    คีย์ API ของฉันใช้แพลตฟอร์มหลายประเภท คุณไม่สามารถรักษาความปลอดภัยของการเข้าชมได้อย่างเหมาะสมด้วยคีย์ API เพียงคีย์เดียว คุณต้อง ย้ายข้อมูลไปยังคีย์ API หลายรายการ ดูข้อมูลเพิ่มเติมได้ที่ ย้ายข้อมูลไปยังคีย์ API หลายรายการ

ใช้คีย์ API แยกต่างหากสำหรับแต่ละแอป

แนวทางปฏิบัตินี้จะจำกัดขอบเขตของแต่ละคีย์ หากคีย์ API รายการใดรายการหนึ่งถูกบุกรุก คุณจะลบหรือหมุนเวียนคีย์ที่ได้รับผลกระทบได้โดยไม่ต้องอัปเดตคีย์ API อื่นๆ คุณสร้างคีย์ API ได้สูงสุด 300 คีย์ต่อโปรเจ็กต์ ดูข้อมูลเพิ่มเติมได้ที่ขีดจำกัดของคีย์ API

แม้ว่าคีย์ API 1 คีย์ต่อแอปพลิเคชัน 1 รายการจะเป็นวิธีที่ดีที่สุดเพื่อความปลอดภัย แต่คุณก็ใช้คีย์ที่จำกัดในแอปหลายแอปได้ตราบใดที่แอปเหล่านั้นใช้การจำกัดแอปพลิเคชันประเภทเดียวกัน

ใช้ข้อจำกัดของคีย์ API ที่แนะนำ

สำหรับเจ้าของ โปรแกรมแก้ไข และผู้ดูแลระบบคีย์ API บางคน คอนโซล Google Cloud จะแนะนำข้อจำกัดคีย์ API ที่เฉพาะเจาะจงสำหรับคีย์ API ที่ไม่มีข้อจำกัด ตามการใช้งานและกิจกรรมใน Google Maps Platform

หากมี คำแนะนำจะปรากฏเป็นตัวเลือกที่กรอกไว้ล่วงหน้าในหน้าข้อมูลเข้าสู่ระบบของ Google Maps Platform

API และ SDK ของ Google Maps Platform ที่คำแนะนำอัตโนมัติรองรับ

  • Maps JavaScript API ซึ่งรวมถึง บริการเส้นทาง (เดิม), บริการเมทริกซ์ระยะทาง (เดิม), บริการระดับความสูง, บริการการเข้ารหัสพิกัดภูมิศาสตร์ คลาส Place, วิดเจ็ต Place Autocomplete (ใหม่), Place Autocomplete Data API, Places Library, Places Service, วิดเจ็ต Place Autocomplete และ ชุดเครื่องมือ UI ของ Places

  • Maps Static API และ Street View Static API

  • Maps Embed API

  • Maps SDK สำหรับ Android, Navigation SDK สำหรับ Android, Places SDK สำหรับ Android และ Places UI Kit ใน Android

  • Maps SDK สำหรับ iOS, Navigation SDK สำหรับ iOS, Places SDK สำหรับ iOS, Places Swift SDK สำหรับ iOS และ Places UI Kit ใน iOS

สาเหตุที่คุณอาจไม่เห็นคำแนะนำหรือเห็นคำแนะนำที่ไม่สมบูรณ์

เหตุผลที่ไม่มีคำแนะนำ

  • คุณใช้คีย์ API ในบริการอื่นที่ไม่ใช่ Google Maps Platform หรือบริการ Maps Platform ที่ ยังไม่รองรับโดย คำแนะนำอัตโนมัติ

    หากเห็นการใช้งานในบริการอื่นๆ อย่าใช้คำแนะนำโดยไม่ทำสิ่งต่อไปนี้ก่อน

    1. ตรวจสอบว่าการใช้งาน API ที่คุณเห็นในเครื่องมือสำรวจเมตริกของ Google Cloud Console ถูกต้อง

    2. เพิ่มบริการที่ขาดหายไปลงในรายการ API ที่จะให้สิทธิ์ด้วยตนเอง

    3. เพิ่มข้อจำกัดของแอปพลิเคชันที่ขาดหายไปสำหรับบริการที่เพิ่มลงในรายการ API ด้วยตนเอง หากโฆษณาอื่นๆ ที่คุณเพิ่มต้องใช้ข้อจำกัดของแอปพลิเคชันประเภทอื่น โปรดดูย้ายข้อมูลไปยังคีย์ API หลายรายการ

  • คีย์ API ของคุณไม่ได้ใช้ใน SDK หรือ API ฝั่งไคลเอ็นต์

  • คุณใช้คีย์ API ในแอปหรือเว็บไซต์ที่มีปริมาณการใช้งานต่ำซึ่งไม่มีการใช้งานในช่วง 60 วันที่ผ่านมา

  • คุณเพิ่งสร้างคีย์ใหม่ หรือเพิ่งติดตั้งใช้งานคีย์ที่มีอยู่ ในแอปใหม่ หากเป็นกรณีนี้ โปรดรออีก 2-3 วัน เพื่อให้คำแนะนำอัปเดต

  • คุณใช้คีย์ API ในแอปพลิเคชันหลายรายการที่ต้องมีการจำกัดแอปพลิเคชันประเภทที่ขัดแย้งกัน หรือคุณใช้คีย์ API เดียวกันในแอปหรือเว็บไซต์ที่แตกต่างกันมากเกินไป ไม่ว่าในกรณีใด แนวทางปฏิบัติแนะนำคือคุณควรย้ายข้อมูลไปยังคีย์หลายรายการ ดูรายละเอียดเพิ่มเติมได้ที่ ย้ายข้อมูลไปยังคีย์ API หลายรายการ

สาเหตุที่เห็นคำแนะนำที่ไม่สมบูรณ์

  • คุณใช้คีย์ API ในแอปหรือเว็บไซต์ที่มีปริมาณการใช้งานต่ำซึ่งไม่มีการใช้งานในช่วง 60 วันที่ผ่านมา

  • คุณเพิ่งเริ่มใช้คีย์ที่มีอยู่กับ API หรือบริการใหม่เมื่อเร็วๆ นี้ และไปป์ไลน์คำแนะนำการจำกัดคีย์ API อัตโนมัติยังไม่ได้ประมวลผลเมตริกการใช้งานที่อัปเดต การเผยแพร่เมตริกการใช้งานอาจใช้เวลา 2-3 วัน

    หากเห็นการใช้งานในบริการอื่นๆ อย่าใช้คำแนะนำโดยไม่ทำสิ่งต่อไปนี้ก่อน

    1. ตรวจสอบว่าการใช้งาน API ที่คุณเห็นในเครื่องมือสำรวจเมตริกของ Google Cloud Console ถูกต้อง

    2. เพิ่มบริการที่ขาดหายไปลงในรายการ API ที่จะให้สิทธิ์ด้วยตนเอง

    3. เพิ่มข้อจำกัดของแอปพลิเคชันที่ขาดหายไปสำหรับบริการที่เพิ่มลงในรายการ API ด้วยตนเอง หากโฆษณาอื่นๆ ที่คุณเพิ่มต้องใช้ข้อจำกัดของแอปพลิเคชันประเภทอื่น โปรดดูย้ายข้อมูลไปยังคีย์ API หลายรายการ

    4. หากไม่จำเป็นต้องจำกัดคีย์อย่างเร่งด่วน เช่น เนื่องจากมีการใช้งานที่ไม่ได้รับอนุญาต คุณอาจรอ 1-2 วันเพื่อให้คำแนะนำอัปเดต

สาเหตุที่คุณอาจเห็นคำแนะนำที่ไม่แสดงในแผนภูมิ

  • แอปหรือเว็บไซต์ของคุณส่งการเข้าชมที่เพิ่มขึ้นอย่างรวดเร็วในระยะเวลาสั้นๆ เท่านั้น ในกรณีนี้ ให้ เปลี่ยนจากมุมมองแผนภูมิเพื่อแสดงตารางหรือทั้ง 2 อย่าง เนื่องจาก การใช้งานจะยังคงปรากฏในคำอธิบาย ดูข้อมูลเพิ่มเติมได้ที่การสลับ คำอธิบาย แผนภูมิทั้งหมด

  • การเข้าชมมาจาก Maps Embed API ดูวิธีการได้ที่ระบุ API ที่ใช้คีย์ API ของคุณ

  • การเข้าชมจากแอปหรือเว็บไซต์อยู่นอกช่วงวันที่ที่ใช้ได้ใน เครื่องมือสำรวจเมตริกของคอนโซล Google Cloud

  1. เปิดหน้าข้อมูลเข้าสู่ระบบของ Google Maps Platform ใน Google Cloud Console

  2. หากมี ให้เลือกใช้ข้อจำกัดที่แนะนำ

    ใช้ข้อจำกัดที่แนะนำ

  3. เลือกตรวจสอบการใช้งาน API เพื่อยืนยันว่าคีย์ API ใช้กับบริการใด หากเห็นบริการอื่นที่ไม่ใช่ Google Maps Platform ให้หยุดชั่วคราว เพื่อตรวจสอบขั้นตอนการแนะนำข้างต้นด้วยตนเอง ดูขั้นตอนการแก้ปัญหา ที่จุดเริ่มต้นของส่วน ใช้ข้อจำกัดของคีย์ API ที่แนะนำ

  4. ตรวจสอบอีกครั้งว่าข้อจำกัดที่กรอกไว้ล่วงหน้าตรงกับเว็บไซต์และแอป ที่คุณคาดว่าจะใช้คีย์ API หรือไม่

    แนวทางปฏิบัติแนะนำ: จัดทำเอกสารและนำข้อจำกัดของแอปพลิเคชันหรือ API ที่ไม่ได้เชื่อมโยงกับบริการของคุณออก หากมีสิ่งใดหยุดทำงานเนื่องจาก การอ้างอิงที่ไม่คาดคิด คุณสามารถเพิ่มแอปหรือ API ที่จำเป็นกลับเข้าไปได้

    • หากคุณทราบว่าแอป เว็บไซต์ หรือ API หายไปจากคำแนะนำ อย่างชัดเจน ให้เพิ่มด้วยตนเองหรือรอ 2-3 วันเพื่อให้ คำแนะนำอัปเดต

    • หากต้องการความช่วยเหลือเพิ่มเติมเกี่ยวกับคำแนะนำที่แนะนำ โปรดติดต่อ ทีมสนับสนุน

  5. เลือกใช้

สิ่งที่ต้องทำหากใบสมัครถูกปฏิเสธหลังจากใช้คำแนะนำ

หากสังเกตเห็นว่าแอปหรือเว็บไซต์ถูกปฏิเสธหลังจากใช้ข้อจำกัด ให้มองหาข้อจำกัดของแอปพลิเคชันที่คุณต้องเพิ่มในข้อความแสดงข้อผิดพลาดในการตอบกลับ API

SDK และ API ฝั่งไคลเอ็นต์

แอปที่ใช้เบราว์เซอร์และ WebView

โดยปกติแล้วเบราว์เซอร์สมัยใหม่จะปกปิดส่วนหัว Referer ในคำขอข้ามต้นทาง เนื่องจากเหตุผลด้านความเป็นส่วนตัว ซึ่งมักจะลดส่วนหัวดังกล่าวลงเหลือเพียง Origin อย่างไรก็ตาม ลักษณะการทำงานที่แน่นอนจะขึ้นอยู่กับ referrer-policy ที่ใช้ของ เว็บไซต์โฮสติ้ง และอาจแตกต่างกันไปตามเบราว์เซอร์และเวอร์ชันของผู้ใช้ด้วย

โดยทั่วไปแล้ว เว็บแอปพลิเคชันที่ใช้รูปแบบ URI ที่ไม่ชัดเจนหรือ URI ในเครื่องเพื่อโหลดเนื้อหาจะทำให้เบราว์เซอร์ที่แสดงผลหรือ WebView ปิดบังส่วนหัว Referer จากการเรียกขาออกทั้งหมด ซึ่งอาจทำให้คำขอที่ใช้คีย์ API ที่มีข้อจำกัดของเว็บไซต์ล้มเหลว

ดูคำแนะนำเพิ่มเติมได้ที่ โฮสต์แอปที่ใช้เบราว์เซอร์ในเซิร์ฟเวอร์

วิธีการแก้ปัญหาสำหรับแอปที่ใช้เบราว์เซอร์และ WebView

  • สำหรับ Maps JavaScript API โปรดดูรายละเอียดวิธีให้สิทธิ์แอปพลิเคชันในคอนโซลการแก้ไขข้อบกพร่องของเบราว์เซอร์

    ระบบรองรับรูปแบบ URI ที่ไม่ค่อยได้ใช้บางส่วน หากบางส่วนของแอปพลิเคชันไม่ทำงานใน URI Scheme ที่ไม่ปกติ แม้หลังจากให้สิทธิ์ผู้แนะนำที่จำเป็นแล้ว คุณอาจต้องโฮสต์แอปพลิเคชันจากระยะไกลในเซิร์ฟเวอร์และโหลดผ่าน HTTPS (หรือ HTTP)

    หากต้องการความช่วยเหลือเกี่ยวกับรูปแบบ URI ที่ไม่ค่อยได้ใช้ โปรดติดต่อทีมสนับสนุน

  • โดยทั่วไปแล้ว API อื่นๆ ของ Maps Platform จะแสดง ผู้แนะนำที่คุณต้องให้สิทธิ์ในการตอบกลับข้อผิดพลาดของ API โดยสมมติว่า ไคลเอ็นต์ส่งข้อมูลนี้พร้อมกับคำขอที่ถูกปฏิเสธ

    ไม่รองรับรูปแบบ URI ที่ซับซ้อน

แอป Android

ใช้ Android Debug Bridge (adb) หรือ Logcat

แอป iOS

ดูการดูข้อความบันทึก

แอปที่เรียกใช้เว็บเซอร์วิสโดยตรง

สำหรับแอปพลิเคชันที่เรียกใช้ HTTPS REST API ของ Maps Platform หรือ ปลายทาง gRPC โดยตรงโดยไม่มี Google Maps Platform SDK ฝั่งไคลเอ็นต์ โปรดดู ด้านล่าง

แอป Android และ iOS

หากแอปพลิเคชัน Android หรือ iOS เรียกใช้บริการของ Maps Platform โดยตรงโดยไม่ใช้ Google Maps Platform Client SDK ที่พร้อมใช้งาน โปรดดูเคล็ดลับเพิ่มเติมในการแก้ปัญหาสำหรับแอป Android และแอป iOS รวมถึงการเรียกใช้เว็บเซอร์วิสฝั่งไคลเอ็นต์อย่างปลอดภัยเพื่อดูแนวทางปฏิบัติแนะนำด้านความปลอดภัยในปัจจุบันสำหรับกรณีการใช้งานบนอุปกรณ์เคลื่อนที่

หากแอปบันทึกการตอบกลับข้อผิดพลาดของ Maps Platform API คำแนะนำข้างต้นสำหรับ SDK ฝั่งไคลเอ็นต์อาจมีประโยชน์ในการแก้ปัญหาการตรวจสอบสิทธิ์ด้วย

แอปฝั่งเซิร์ฟเวอร์

แอปพลิเคชันฝั่งเซิร์ฟเวอร์ที่ใช้คีย์ API จะได้รับการรักษาความปลอดภัยที่ดีที่สุดผ่านการจำกัดที่อยู่ IP หากคุณได้ใช้ข้อจำกัดที่อยู่ IP กับคีย์ และบันทึกบริการแสดงการตอบกลับข้อผิดพลาดของ Maps Platform API ให้ตรวจสอบบันทึกของระบบเพื่อดูข้อมูลเพิ่มเติม การตอบกลับข้อผิดพลาดจะมีที่อยู่ IP ของเซิร์ฟเวอร์ ที่คุณต้องให้สิทธิ์

แอปที่อิงตามเบราว์เซอร์หรือ WebView

แม้ว่า Maps Static API, Street View Static API และ Google Maps Platform API ที่ใหม่กว่าจะรองรับข้อจำกัดของผู้อ้างอิงด้วย แต่โปรดทราบว่าเว็บเบราว์เซอร์หรือ WebView อาจจำกัดส่วนหัว Referer เป็น Origin สำหรับคำขอข้ามโดเมน และอาจไม่ส่งส่วนหัวดังกล่าวเลย เช่น สำหรับทรัพยากรที่เข้าถึงในเครื่อง หรือสำหรับทรัพยากรที่แสดงผ่านโปรโตคอลอื่นที่ไม่ใช่ HTTP หรือ HTTPS

หากใช้ Maps JavaScript API ในแอปพลิเคชันไม่ได้ และข้อจํากัดของเว็บไซต์ไม่ทํางาน โปรดดูการเรียกใช้บริการเว็บฝั่งไคลเอ็นต์ที่ปลอดภัย เพื่อดูวิธีออกการเรียกใช้บริการเว็บของ Maps Platform อย่างปลอดภัยจากภายในแอปพลิเคชันฝั่งไคลเอ็นต์ที่อิงตามเบราว์เซอร์

เคล็ดลับสำหรับการตรวจสอบข้อจำกัด API

หากต้องการตรวจสอบการจำกัด API ที่จำเป็น โปรดดูระบุ API ที่ใช้คีย์ API

หากไม่แน่ใจว่าจะใช้ข้อจำกัดใด ให้ทำดังนี้

  1. บันทึกข้อจำกัดปัจจุบันเพื่อใช้อ้างอิงในอนาคต
  2. นำออกชั่วคราวขณะที่คุณตรวจสอบปัญหา คุณตรวจสอบการใช้งานเมื่อเวลาผ่านไปได้โดยทำตามขั้นตอนในตรวจสอบการใช้งานคีย์ API
  3. และติดต่อทีมสนับสนุนหากจำเป็น

ลบคีย์ API ที่ไม่ได้ใช้

ก่อนที่จะลบคีย์ API โปรดตรวจสอบว่าไม่ได้ใช้คีย์ดังกล่าวในเวอร์ชันที่ใช้งานจริง หากไม่มีการเข้าชมที่สำเร็จ คุณก็ลบคีย์ได้อย่างปลอดภัย ดูข้อมูลเพิ่มเติมได้ที่ตรวจสอบการใช้คีย์ API

หากต้องการลบรหัส API:

  1. เปิดหน้าข้อมูลเข้าสู่ระบบของ Google Maps Platform ใน Google Cloud Console

  2. เลือกรหัส API ที่คุณต้องการลบ

  3. เลือกปุ่มลบที่ด้านบนของหน้า

  4. ในหน้าลบข้อมูลเข้าสู่ระบบ ให้เลือกลบ

    การลบคีย์ API จะใช้เวลาสักครู่จึงจะมีผล หลังจากที่การเผยแพร่เสร็จสมบูรณ์ ระบบจะปฏิเสธการเข้าชมใดๆ ที่ใช้คีย์ API ที่ลบไปแล้ว

โปรดระมัดระวังเมื่อหมุนเวียนคีย์ API

การหมุนเวียนคีย์ API จะสร้างคีย์ใหม่ที่มีข้อจำกัดทั้งหมดของคีย์เก่า ในช่วงเวลานี้ ระบบจะยอมรับทั้งคีย์เก่าและคีย์ใหม่ ซึ่งจะช่วยให้คุณมี โอกาสย้ายข้อมูลแอปไปใช้คีย์ใหม่

ก่อนหมุนเวียนคีย์ API

  • ก่อนอื่นให้ลองจำกัดคีย์ API ตามที่อธิบายไว้ในจำกัดคีย์ API

  • หากจำกัดคีย์ API ไม่ได้เนื่องจากประเภทการจำกัดแอปพลิเคชันขัดแย้งกัน ให้ย้ายข้อมูลไปยังคีย์ใหม่หลายรายการ (ที่ถูกจำกัด) ตามที่อธิบายไว้ในย้ายข้อมูลไปยังคีย์ API หลายรายการ การย้ายข้อมูล ช่วยให้คุณควบคุมไทม์ไลน์การย้ายข้อมูลและการเปิดตัวคีย์ API ใหม่ได้

หากทำตามคำแนะนำข้างต้นไม่ได้ และคุณต้องหมุนเวียนคีย์ API เพื่อป้องกันการใช้งานที่ไม่ได้รับอนุญาต ให้ทำตามขั้นตอนต่อไปนี้

  1. เปิดหน้าข้อมูลเข้าสู่ระบบของ Google Maps Platform ใน Google Cloud Console

  2. เปิดคีย์ API ที่ต้องการหมุนเวียน

  3. เลือกหมุนเวียนคีย์ที่ด้านบนของหน้า

  4. เปลี่ยนชื่อคีย์ API (ไม่บังคับ)

  5. เลือกสร้าง

  6. อัปเดตแอปพลิเคชันให้ใช้คีย์ใหม่

หลังจากอัปเดตแอปพลิเคชันให้ใช้คีย์ใหม่แล้ว ให้ลบคีย์เก่าโดยคลิกปุ่มลบคีย์ก่อนหน้าในส่วนคีย์ก่อนหน้าของหน้าคีย์ API ใหม่

ย้ายข้อมูลไปยังคีย์ API หลายรายการ

หากต้องการย้ายข้อมูลจากการใช้คีย์ API เดียวสำหรับหลายแอปไปยังคีย์ API ที่ไม่ซ้ำกันรายการเดียว สำหรับแต่ละแอป ให้ทำดังนี้

  1. ระบุแอปที่ต้องใช้คีย์ใหม่

    • เว็บแอปอัปเดตได้ง่ายที่สุดเนื่องจากคุณควบคุมโค้ดทั้งหมด วางแผนที่จะอัปเดตคีย์ของแอปบนเว็บทั้งหมด
    • แอปบนอุปกรณ์เคลื่อนที่นั้นยากกว่ามาก เนื่องจากลูกค้าต้องอัปเดตแอป ก่อนจึงจะใช้คีย์ใหม่ได้

  2. สร้างและจำกัดคีย์ใหม่: เพิ่มทั้งการจำกัดแอปพลิเคชัน และการจำกัด API อย่างน้อย 1 รายการ ดูข้อมูลเพิ่มเติมได้ที่แนวทางปฏิบัติแนะนำ

  3. เพิ่มคีย์ใหม่ลงในแอป: สำหรับแอปบนอุปกรณ์เคลื่อนที่ กระบวนการนี้อาจใช้เวลาหลายเดือนจนกว่าผู้ใช้ทั้งหมดจะอัปเดตเป็นแอปเวอร์ชันล่าสุดที่มีคีย์ API ใหม่

แยกการใช้งานฝั่งไคลเอ็นต์และฝั่งเซิร์ฟเวอร์ออกเป็นโปรเจ็กต์แยกกัน

หากคุณต้องการเรียกใช้บริการ Google Maps Platform ทั้งจากแอปพลิเคชันฝั่งเซิร์ฟเวอร์ และจากแอปพลิเคชันฝั่งไคลเอ็นต์โดยตรงซึ่งทำงานบนอุปกรณ์ของผู้ใช้ปลายทาง Google ขอแนะนำให้แบ่งการใช้งานระหว่าง 2 โปรเจ็กต์แยกกัน

แนวทางนี้ช่วยให้คุณใช้ขีดจำกัดโควต้าต่อนาทีต่อผู้ใช้ที่เหมาะสมกับ บริการส่วนใหญ่ของ Google Maps Platform ในโปรเจ็กต์ฝั่งไคลเอ็นต์ ซึ่งช่วย ให้มั่นใจได้ว่าผู้ใช้ปลายทางทุกคนจะได้รับโควต้าโปรเจ็กต์โดยรวมอย่างเท่าเทียมกัน โดยไม่ส่งผลกระทบต่อกัน

อย่างไรก็ตาม เนื่องจากข้อจำกัดของโควต้าต่อผู้ใช้ส่งผลต่อทั้งแอปพลิเคชันฝั่งไคลเอ็นต์และฝั่งเซิร์ฟเวอร์ หากคุณต้องการแบนด์วิดท์สูงสำหรับงานฝั่งเซิร์ฟเวอร์ด้วย ให้สร้างโปรเจ็กต์แยกต่างหากสำหรับกรณีการใช้งานนี้ โดยกำหนดค่าให้มีขีดจำกัดโควต้าต่อผู้ใช้ที่สูงขึ้น หรือไม่มีขีดจำกัดเลย

ปิดใช้บริการที่ไม่ได้ใช้

อย่าเปิดใช้บริการที่ไม่ได้ใช้ในโปรเจ็กต์ เนื่องจากวิธีนี้อาจ ถูกละเมิดได้ โดยเฉพาะหากคุณไม่ได้จำกัดคีย์ API สาธารณะทั้งหมด แนวทางปฏิบัติแนะนำคือเปิดใช้บริการในโปรเจ็กต์เมื่อแอปพลิเคชันของคุณต้องการเท่านั้น

การเพิ่มข้อจำกัด API ในคีย์จะป้องกันไม่ให้ใช้คีย์ดังกล่าวในบริการที่ยังไม่ได้รับอนุญาต แต่ข้อจำกัด API จะมีผลกับคีย์นั้นๆ เท่านั้น ปิดใช้บริการที่ระดับโปรเจ็กต์เพื่อป้องกันการใช้บริการที่ไม่ได้รับอนุญาตในคีย์ใดๆ ที่ลิงก์กับโปรเจ็กต์

ใช้ SDK ฝั่งไคลเอ็นต์

เมื่อใช้ SDK ของ Google Maps Platform ฝั่งไคลเอ็นต์ที่ให้ไว้ คุณจะสามารถ ใช้การจำกัดที่เหมาะสมกับคีย์ API เพื่อรักษาการใช้งานบริการให้ปลอดภัยได้เสมอ

การใช้ SDK ฝั่งไคลเอ็นต์ยังช่วยให้คุณใช้กลไกการรักษาความปลอดภัยขั้นสูงได้มากขึ้น เช่น App Check ของ Firebase ในพื้นผิว API ของ Maps Platform ที่รองรับ ดูรายละเอียดเพิ่มเติมได้ที่ ใช้ App Check เพื่อรักษาคีย์ API ให้ปลอดภัย

หากไม่มี SDK ฝั่งไคลเอ็นต์สำหรับแพลตฟอร์มของคุณ โปรดดูรักษาความปลอดภัยให้การเรียกใช้บริการเว็บฝั่งไคลเอ็นต์

ดูความพร้อมใช้งานของ SDK ของ Google Maps Platform ฝั่งไคลเอ็นต์สำหรับแพลตฟอร์มต่างๆ ได้ที่การจำกัดแอปพลิเคชันและ API ที่แนะนำ

ปกป้องการใช้งาน Static Web API

Static Web API เช่น Maps Static API และ Street View Static API จะคล้ายกับการเรียกใช้ Web Service API

คุณเรียกใช้ทั้ง 2 อย่างโดยใช้ HTTPS REST API และโดยปกติแล้วคุณจะสร้าง URL คำขอ API บนเซิร์ฟเวอร์ อย่างไรก็ตาม Static Web API จะสร้างรูปภาพที่คุณฝังในโค้ด HTML ที่สร้างขึ้นได้แทนที่จะแสดงการตอบกลับ JSON ที่สำคัญกว่านั้นคือโดยทั่วไปแล้วไคลเอ็นต์ของผู้ใช้ปลายทาง ไม่ใช่เซิร์ฟเวอร์ เป็นผู้เรียกใช้บริการ Google Maps Platform

ใช้ลายเซ็นดิจิทัล

แนวทางปฏิบัติแนะนำคือให้ใช้ลายเซ็นดิจิทัลควบคู่กับคีย์ API เสมอ นอกจากนี้ ให้ตรวจสอบจำนวนคำขอที่ไม่ได้ลงนามที่คุณต้องการอนุญาตต่อวันและปรับ โควต้าคำขอที่ไม่ได้ลงนามตามนั้น

ดูรายละเอียดเพิ่มเติมเกี่ยวกับลายเซ็นดิจิทัลได้ในคำแนะนำเกี่ยวกับลายเซ็นดิจิทัล

ปกป้องความลับในการลงนาม

เพื่อปกป้อง Static Web API อย่าฝังข้อมูลลับในการลงนาม API โดยตรงในโค้ดหรือในโครงสร้างแหล่งที่มา หรือเปิดเผยข้อมูลลับในแอปพลิเคชันฝั่งไคลเอ็นต์ ทำตามแนวทางปฏิบัติแนะนำต่อไปนี้เพื่อปกป้องข้อมูลลับในการลงนาม

  • สร้าง URL คำขอ Maps Static API และ Street View Static API ที่ลงชื่อแล้วฝั่งเซิร์ฟเวอร์เมื่อ แสดงหน้าเว็บ หรือในการตอบสนองต่อคำขอจากแอปพลิเคชันบนอุปกรณ์เคลื่อนที่

    สำหรับเนื้อหาเว็บแบบคงที่ คุณสามารถใช้วิดเจ็ตลงชื่อ URL ตอนนี้ ในหน้าข้อมูลเข้าสู่ระบบของ Google Maps Platform ใน Cloud Console

    สำหรับเนื้อหาเว็บแบบไดนามิก โปรดดูตัวอย่างโค้ดการลงนามคำขอ URL ที่พร้อมใช้งาน

  • จัดเก็บข้อมูลลับในการลงนามนอกซอร์สโค้ดและซอร์ส ทรีของแอปพลิเคชัน หากคุณใส่ข้อมูลลับในการลงนามหรือข้อมูลส่วนตัวอื่นๆ ใน ตัวแปรสภาพแวดล้อม หรือรวมไฟล์ที่จัดเก็บแยกกันแล้ว แชร์โค้ด ระบบจะไม่รวมข้อมูลลับในการลงนามไว้ในไฟล์ที่แชร์ หากจัดเก็บข้อมูลลับในการลงนามหรือข้อมูลส่วนตัวอื่นๆ ไว้ในไฟล์ ให้เก็บ ไฟล์ไว้นอกแผนผังแหล่งที่มาของแอปพลิเคชันเพื่อไม่ให้ข้อมูลลับในการลงนาม อยู่ในระบบควบคุมซอร์สโค้ด ข้อควรระวังนี้มีความสำคัญอย่างยิ่งหากคุณใช้ระบบการจัดการซอร์สโค้ดแบบสาธารณะ เช่น GitHub

ปกป้องคีย์ API ของบริการเว็บ

ดูการใช้ Google Maps Platform API และบริการจากแอปฝั่งไคลเอ็นต์อย่างปลอดภัยได้ที่ใช้ SDK ฝั่งไคลเอ็นต์และเรียกใช้เว็บเซอร์วิสฝั่งไคลเอ็นต์อย่างปลอดภัย

จัดเก็บคีย์ API ไว้ภายนอกซอร์สโค้ดหรือซอร์สทรีของแอปพลิเคชัน หากคุณใส่คีย์ API หรือข้อมูลอื่นๆ ในตัวแปรสภาพแวดล้อมหรือ รวมไฟล์ที่จัดเก็บแยกกันแล้วแชร์โค้ด ระบบจะไม่รวมคีย์ API ไว้ในไฟล์ที่แชร์ ซึ่งมีความสำคัญอย่างยิ่งหากคุณใช้ระบบการจัดการซอร์สโค้ดแบบสาธารณะ เช่น GitHub

Google ขอแนะนำให้ใช้การจำกัด API กับคีย์ที่ใช้สำหรับ Maps Platform เพื่อช่วยป้องกันคีย์ API ของบริการเว็บจากการใช้งานโดยไม่ตั้งใจ นอกจากนี้ การใช้การจำกัดที่อยู่ IP กับคีย์บริการเว็บจะช่วยปกป้องคีย์จากการใช้งานที่ไม่ได้รับอนุญาตจากที่อยู่ IP อื่นๆ แม้ว่าคีย์จะรั่วไหลโดยไม่ตั้งใจก็ตาม

ใช้ OAuth สำหรับแอปฝั่งเซิร์ฟเวอร์

OAuth 2.0 เป็นมาตรฐานแบบเปิดสำหรับการมอบสิทธิ์เข้าถึง

แม้ว่าโปรโตคอล OAuth 2.0 จะรองรับกรณีการใช้งานที่ผู้ใช้ปลายทางให้สิทธิ์แอปพลิเคชันในการเข้าถึงข้อมูลส่วนตัวในนามของตน แต่กรณีการใช้งานที่ตั้งใจไว้สำหรับ OAuth 2.0 กับ Maps Platform คือให้นักพัฒนาซอฟต์แวร์ใช้โทเค็นการเข้าถึงชั่วคราวเพื่อให้สิทธิ์แอปพลิเคชันของตนในการเรียกใช้ API ในนามของบัญชีบริการของโปรเจ็กต์ Google Cloud ที่มีสิทธิ์ของบัญชีบริการ

เนื่องจากบัญชีบริการอาจมีสิทธิ์ที่กว้างมาก เราจึงขอแนะนำให้ใช้ OAuth 2.0 เพื่อให้สิทธิ์การเรียก server-to-server ระหว่างแอปพลิเคชันฝั่งเซิร์ฟเวอร์ที่เชื่อถือได้ของนักพัฒนาแอปกับเซิร์ฟเวอร์ของ Maps Platform ของ Google

สำหรับแอปพลิเคชันฝั่งไคลเอ็นต์ที่ทำงานในอุปกรณ์ของผู้ใช้ปลายทาง เราขอแนะนำให้ใช้วิธีการตรวจสอบสิทธิ์อื่นๆ เช่น คีย์ API

หากต้องการใช้ OAuth 2.0 เพื่อให้สิทธิ์การรับส่งข้อมูลจากเซิร์ฟเวอร์ถึงเซิร์ฟเวอร์ ให้ค้นหาหัวข้อ OAuth ในเอกสารประกอบ API

ตัวอย่างเช่น นี่คือหัวข้อ OAuth สำหรับ Address Validation API

เรียกใช้บริการเว็บฝั่งไคลเอ็นต์อย่างปลอดภัย

หาก SDK ฝั่งไคลเอ็นต์ไม่พร้อมใช้งาน ให้ดูคำแนะนำด้านล่าง

ใช้พร็อกซีเซิร์ฟเวอร์

การใช้เซิร์ฟเวอร์พร็อกซีที่ปลอดภัยเป็นแหล่งที่มาที่เชื่อถือได้สำหรับการโต้ตอบกับ ปลายทางบริการเว็บของ Google Maps Platform จากแอปพลิเคชันฝั่งไคลเอ็นต์ โดยไม่ต้องเปิดเผยคีย์ API, ข้อมูลลับในการลงนาม หรือบัญชีบริการ Google Cloud ต่อผู้ใช้ที่ไม่ได้รับอนุญาต

ประเด็นสำคัญ

  • สร้างคำขอ Google Maps Platform ในพร็อกซีเซิร์ฟเวอร์ อย่าอนุญาตให้ไคลเอ็นต์ส่งต่อการเรียก API ที่กำหนดเองโดยใช้พร็อกซี

  • ประมวลผลคำตอบของ Google Maps Platform ในเซิร์ฟเวอร์พร็อกซี กรองข้อมูลที่ไคลเอ็นต์ไม่ต้องการออก

ดูข้อมูลเพิ่มเติมเกี่ยวกับการใช้พร็อกซีเซิร์ฟเวอร์ได้ที่ Living Vicariously: Using Proxy Servers with the Google Data API Client Libraries

การเรียกใช้บริการเว็บบนอุปกรณ์เคลื่อนที่โดยตรงอย่างปลอดภัย

หากตั้งค่าพร็อกซีเซิร์ฟเวอร์ที่ปลอดภัยสำหรับแอปฝั่งไคลเอ็นต์ไม่ได้ ให้รักษาความปลอดภัยของแอปพลิเคชันโดยทำตามขั้นตอนต่อไปนี้

  1. ใช้ส่วนหัว HTTP ดังนี้

    • Android: ใช้ส่วนหัว HTTP ของ X-Android-Package และ X-Android-Cert

    • iOS: ใช้ส่วนหัว HTTP ของ X-Ios-Bundle-Identifier

  2. เพิ่มข้อจํากัดของแอปพลิเคชันที่เกี่ยวข้องลงในคีย์ Android หรือ iOS

  3. ก่อนที่จะพิจารณาออกการเรียกจากแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ไปยัง เว็บเซอร์วิส REST API ของ Google Maps Platform โดยตรง ให้ตรวจสอบว่าคำขอที่มีตัวระบุแอปพลิเคชัน Android หรือ iOS ที่ไม่ถูกต้องถูกปฏิเสธ

    หากอุปกรณ์ปลายทางที่ทดสอบไม่รองรับการจำกัดแอปพลิเคชัน Android และ iOS Google ขอแนะนำให้คุณใช้เซิร์ฟเวอร์พร็อกซีที่ปลอดภัยระหว่างไคลเอ็นต์บนอุปกรณ์เคลื่อนที่กับ ปลายทางของเว็บเซอร์วิส Google Maps Platform

เคล็ดลับสำหรับแอปพลิเคชัน Android

  • ก่อนที่จะผสานรวมแอปพลิเคชัน Android กับบริการของ Google Maps Platform ให้ตรวจสอบว่ารหัสแอปพลิเคชัน (หรือที่เรียกว่าชื่อแพ็กเกจ) ได้รับการจัดรูปแบบอย่างถูกต้อง โปรดดูรายละเอียดที่หัวข้อ กำหนดค่าโมดูลแอป ในเอกสารประกอบของ Android

  • หากต้องการส่ง X-Android-Package จากแอปพลิเคชันโดยตรง ให้ค้นหาโดยใช้โปรแกรมผ่าน Context.getPackageName()

  • หากต้องการส่ง X-Android-Cert โดยตรงจากแอปพลิเคชัน ให้คำนวณลายนิ้วมือ SHA-1 ที่จำเป็นของใบรับรอง การลงนามในแอปพลิเคชัน ซึ่งเข้าถึงได้ผ่าน PackageInfo.signingInfo

  • หากคุณให้สิทธิ์แอปพลิเคชัน Android โดยใช้ Google Cloud Console โปรดทราบว่า UI คาดหวังให้ลายนิ้วมือ SHA-1 เป็นสตริงที่คั่นด้วยเครื่องหมายโคลอน เช่น 00:11:22:33:44:55:66:77:88:99:AA:BB:CC:DD:EE:FF:00:11:22:33 อย่างไรก็ตาม gcloud เครื่องมือและ API คีย์ API คาดหวังสตริงเลขฐานสิบหกที่ไม่มีตัวคั่น

เคล็ดลับสำหรับแอปพลิเคชัน iOS

ดูข้อมูลเพิ่มเติมได้ที่บทความ จัดการคีย์ API และ ใช้คีย์ API เพื่อเข้าถึง API

โฮสต์แอปที่ใช้เบราว์เซอร์บนเซิร์ฟเวอร์

เฟรมเวิร์ก เช่น Apache Cordova ช่วยให้คุณสร้าง แอปแบบไฮบริดหลายแพลตฟอร์มที่ทำงานภายใน WebView ได้อย่างสะดวก อย่างไรก็ตาม เราไม่รับประกันว่าการจำกัดเว็บไซต์สำหรับคีย์ API จะทำงานได้อย่างถูกต้อง เว้นแต่จะโหลดเว็บแอปโดยใช้ HTTP หรือ HTTPS จากเว็บไซต์ที่คุณควบคุมและได้รับอนุญาต

ในหลายกรณี ทรัพยากรที่รวมไว้ซึ่งโหลดในเครื่องจากภายในแอปพลิเคชันแบบไฮบริดหรือเข้าถึงโดยใช้ URL ของไฟล์ในเครื่องจะทำให้การให้สิทธิ์ตามผู้แนะนำใช้งานไม่ได้ เนื่องจากเครื่องมือเบราว์เซอร์ที่ขับเคลื่อน WebView จะไม่ส่งส่วนหัว Referer หากต้องการหลีกเลี่ยงปัญหานี้ ให้โฮสต์เว็บแอปพลิเคชันฝั่งเซิร์ฟเวอร์ ไม่ใช่ฝั่งไคลเอ็นต์

หรือสำหรับแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ ให้ลองใช้ Android และ iOS SDK ของ Google Maps Platform แบบเนทีฟที่มีอยู่แทนการใช้ SDK บนเว็บ

ใช้ App Check เพื่อรักษาคีย์ API ให้ปลอดภัย

SDK และ API ของ Maps บางรายการช่วยให้คุณผสานรวมกับ Firebase App Check ได้ App Check ช่วย ปกป้องการเรียกจากแอปของคุณไปยัง Google Maps Platform โดยการบล็อกการเข้าชม ที่มาจากแหล่งที่มาอื่นๆ ที่ไม่ใช่แอปที่ถูกต้องตามกฎหมาย โดยจะตรวจสอบโทเค็นจากผู้ให้บริการการรับรอง การผสานรวมแอปกับ App Check จะช่วย ป้องกันคำขอที่เป็นอันตราย คุณจึงไม่ต้องเสียค่าใช้จ่ายสำหรับการเรียก API ที่ไม่ได้รับอนุญาต

คำแนะนำในการบูรณาการ App Check:

จัดการการใช้คีย์ API โดยไม่ได้รับอนุญาต

หากตรวจพบการใช้คีย์ API ของคุณโดยไม่ได้รับอนุญาต ให้ทำดังนี้เพื่อ แก้ไขปัญหา

  1. จำกัดคีย์: หากคุณใช้คีย์เดียวกันในแอปหลายแอป ให้ ย้ายข้อมูลไปยังคีย์ API หลายรายการ และใช้คีย์ API แยกกันสำหรับแต่ละแอป ดูรายละเอียดเพิ่มเติมได้ที่

  2. หากคุณใช้ Places SDK หรือ Maps Javascript API คุณยังสามารถใช้ App Check เพื่อรักษาความปลอดภัยคีย์ API ของคุณได้อีกด้วย

  3. ให้แทนที่หรือหมุนเวียนคีย์ในกรณีต่อไปนี้เท่านั้น

    • คุณตรวจพบการใช้งานที่ไม่ได้รับอนุญาตบนคีย์ที่ไม่สามารถจำกัดได้หรือถูกจำกัดอยู่แล้ว และการตรวจสอบแอปไม่สามารถใช้ได้

    • คุณต้องการดำเนินการอย่างรวดเร็วมากขึ้นเพื่อรักษาความปลอดภัยคีย์ API ของคุณและหยุดการละเมิดแม้ว่าอาจส่งผลกระทบต่อปริมาณการใช้งานที่ถูกต้องจากแอปพลิเคชันของคุณก็ตาม

    ก่อน ดำเนินการต่อ อ่านผ่านระวังในการหมุนเวียนคีย์ API -

  4. หากคุณยังคงมีปัญหาหรือต้องการความช่วยเหลือ โปรดติดต่อฝ่ายสนับสนุน

แอปพลิเคชั่นที่แนะนำและข้อจำกัด API

หัวข้อต่อไปนี้จะแนะนำข้อจำกัดการใช้งานและ API ที่เหมาะสมสำหรับ Google Maps Platform API, SDK หรือบริการแต่ละรายการ

ข้อจำกัด API ที่แนะนำ

แนวทางต่อไปนี้สำหรับข้อจำกัด API มีผลใช้กับบริการ Google Maps Platform ทั้งหมด:

  • จำกัดคีย์ API ให้ใช้กับ API ที่คุณใช้เท่านั้น โดยมีข้อยกเว้นต่อไปนี้

    • หากแอปของคุณใช้ Places SDK สำหรับ Android หรือ Places SDK สำหรับ iOS ให้อนุญาต Places API (ใหม่) หรือ Places API ขึ้นอยู่กับเวอร์ชัน SDK ที่คุณใช้ 1

    • หากแอปใช้ Maps JavaScript API ให้อนุมัติในคีย์เสมอ

    • หากคุณใช้บริการ Maps JavaScript API ต่อไปนี้ด้วย คุณควรให้สิทธิ์ API ที่เกี่ยวข้องเหล่านี้ด้วย

      บริการ การจำกัด API
      บริการเส้นทาง (แบบเดิม) Directions API (เดิม)
      บริการเมทริกซ์ระยะทาง (เดิม) Distance Matrix API (เดิม)
      บริการระดับความสูง Elevation API
      บริการการเข้ารหัสพิกัดภูมิศาสตร์ Geocoding API
      คลาส Place, วิดเจ็ต Place Autocomplete (ใหม่) & Place Autocomplete Data API Places API (ใหม่)2
      Places Library, Places Service & Place Autocomplete Widget Places API2

1 ดูรายละเอียดเพิ่มเติมได้ที่เอกสารประกอบของ Places SDK สำหรับ Android และ Places SDK สำหรับ iOS

2 หากไม่แน่ใจว่าต้องให้สิทธิ์ Places API (ใหม่) หรือ Places API หรือไม่ โปรดดูเอกสารประกอบของ Maps JavaScript API

ตัวอย่างมีดังต่อไปนี้

  • คุณใช้ Maps SDK สำหรับ Android และ Places SDK สำหรับ Android ดังนั้นคุณจึงรวม Maps SDK สำหรับ Android และ Places API (ใหม่) เป็นข้อจำกัดของ API

  • เว็บไซต์ของคุณใช้บริการระดับความสูงของ Maps JavaScript API และ Maps Static API คุณจึงต้องเพิ่มการจำกัด API สำหรับ API ทั้งหมดต่อไปนี้

    • Maps JavaScript API
    • Elevation API
    • Maps Static API

ข้อจำกัดของแอปพลิเคชันที่แนะนำ

เว็บไซต์

สำหรับเว็บไซต์ที่ใช้บริการ Maps JavaScript API, Maps Static API หรือ Street View Static API หรือเรียกใช้บริการล่าสุดของแพลตฟอร์ม Google Maps โดยตรงผ่าน HTTPS REST API หรือ gRPC ให้ใช้การจำกัดแอปพลิเคชันเว็บไซต์

1 สำหรับแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ ให้พิจารณา ใช้ Maps SDK สำหรับ Android และ Maps SDK สำหรับ iOS แบบเนทีฟ

2 สำหรับแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ ให้พิจารณาใช้ Places SDK สำหรับ Android และ Places SDK สำหรับ iOS แบบเนทีฟ

3 ดูเพิ่มเติม ปกป้องการใช้งาน Static Web API

เว็บไซต์ที่ใช้ Maps Embed API

แม้ว่าการใช้ Maps Embed API จะไม่มีค่าใช้จ่าย แต่คุณก็ควรจำกัดคีย์ API ที่ใช้เพื่อป้องกันการละเมิดในบริการอื่นๆ

แนวทางปฏิบัติแนะนำ: สร้างคีย์ API แยกต่างหากสำหรับใช้กับ Maps Embed API และจำกัดคีย์นี้ให้ใช้กับ เฉพาะ Maps Embed API เท่านั้น ข้อจำกัดนี้จะรักษาความปลอดภัยของคีย์ได้อย่างเพียงพอ ซึ่งจะป้องกันไม่ให้มีการนำคีย์ไปใช้ในบริการอื่นๆ ของ Google โดยไม่ได้รับอนุญาต Google ขอแนะนำให้ใช้การจำกัดแอปพลิเคชันสำหรับเว็บไซต์ด้วย เพื่อให้ควบคุมได้อย่างเต็มที่ว่าจะใช้คีย์ Maps Embed API จากที่ใดได้บ้าง

หากแยกการใช้งาน Maps Embed API ไปยังคีย์ API อื่นไม่ได้ ให้รักษาความปลอดภัยของคีย์ที่มีอยู่โดยใช้ข้อจำกัดของแอปพลิเคชัน Websites

แอปและเซิร์ฟเวอร์ที่ใช้บริการเว็บ

สำหรับเซิร์ฟเวอร์และแอปฝั่งไคลเอ็นต์จากเครือข่ายภายในขององค์กรที่เชื่อถือได้ซึ่งใช้ บริการเว็บร่วมกับคีย์ API ให้ใช้การจำกัดIP addressesแอปพลิเคชัน

ใช้สำหรับแอปและเซิร์ฟเวอร์ที่ใช้ API เหล่านี้

4 สำหรับแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ ให้พิจารณาใช้ Navigation SDK

5 ใช้ พร็อกซีเซิร์ฟเวอร์ที่ปลอดภัยเพื่อการใช้งานอุปกรณ์เคลื่อนที่อย่างปลอดภัย

6 สำหรับแอปพลิเคชันฝั่งไคลเอ็นต์ ให้พิจารณา ใช้บริการระบุตำแหน่งทางภูมิศาสตร์ดั้งเดิมที่แพลตฟอร์มมีให้ เช่น การระบุตำแหน่งทางภูมิศาสตร์ของ W3C สำหรับเว็บเบราว์เซอร์ LocationManager หรือ Fused Location Provider API สำหรับ Android หรือเฟรมเวิร์ก Core Location ของ Apple สำหรับ iOS

7 สำหรับแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ ให้พิจารณาใช้ Places SDK สำหรับ Android และ Places SDK สำหรับ iOS

8 หากต้องการใช้งานฝั่งไคลเอ็นต์อย่างปลอดภัย ให้ใช้พร็อกซีเซิร์ฟเวอร์ที่ปลอดภัย

แอป Android

สำหรับแอปใน Android ให้ใช้Android appsการจำกัดแอปพลิเคชัน ใช้สำหรับ แอปที่ใช้ SDK ต่อไปนี้

นอกจากนี้ ให้ป้องกันการเช็คอินคีย์ API ในการควบคุมเวอร์ชันโดยไม่ได้ตั้งใจโดย ใช้ปลั๊กอิน Secrets Gradle เพื่อแทรกข้อมูลลับ จากไฟล์ในเครื่องแทนการจัดเก็บไว้ใน Android Manifest

แอป iOS

สำหรับแอปใน iOS ให้ใช้ข้อจำกัดของแอปพลิเคชัน iOS apps ใช้สำหรับแอปและ เซิร์ฟเวอร์ที่ใช้ SDK เหล่านี้

อ่านเพิ่มเติม