אם מדובר באפליקציות ובפרויקטים שמשתמשים בערכות SDK ובממשקי API של הפלטפורמה של מפות Google: חייבים להשתמש במפתחות API או ב-OAuth, אם נתמך, כדי למנוע שימוש לא מורשה חיובים. אם אתם משתמשים במפתחות API, כדאי להגביל את מפתחות ה-API לשמירה על אבטחה מקסימלית שאתם יוצרים אותן. השיטות המומלצות הבאות מראות איך להגביל אותן.
בנוסף להחלת הגבלות על אפליקציות ומפתחות API, צריך לפעול בהתאם נוהלי אבטחה שחלים על מוצרים ספציפיים של הפלטפורמה של מפות Google. לדוגמה, ראה את ממשק ה-API של JavaScript של מפות Google למטה ב הגבלות מומלצות על אפליקציות וממשקי API.
אם מפתחות ה-API שלך כבר נמצאים בשימוש, יש לעיין בהמלצות שבהמשך בקטע אם אתם מגבילים או יוצרים מחדש מפתח API שנמצא בשימוש.
לפרטים נוספים על חתימות דיגיטליות, אפשר לעיין ב מדריך לחתימה דיגיטלית
שיטות מומלצות
כדי להגביר את האבטחה וכדי להימנע מחיוב על שימוש לא מורשה, יש לפעול לפי לשיטות המומלצות הבאות לאבטחת API עבור כל ממשקי ה-API, ערכות ה-SDK או ה-SDK של הפלטפורמה של מפות Google שירותים:
מומלץ לכל השימושים של מפתחות API
שימוש במפתחות API נפרדים לכל אפליקציה
איך בודקים את השימוש במפתחות API
כדאי להיזהר כשיוצרים מחדש מפתחות API
המלצות נוספות לאתרים שמשתמשים בממשקי API סטטיים לאינטרנט
הגנה על אפליקציות באמצעות ממשקי API סטטיים לאינטרנט
המלצות נוספות לאפליקציות שמשתמשות בשירותי אינטרנט
הגנה על אפליקציות באמצעות שירותי אינטרנט
המלצות נוספות לאפליקציות לנייד ל-iOS ול-Android
הגנה על אפליקציות לנייד באמצעות שירותי אינטרנט או ממשקי API סטטיים לאינטרנט
אם אתם מגבילים או יוצרים מחדש מפתח API שנמצא בשימוש
לפני שמשנים את מפתח ה-API, צריך לבדוק את השימוש במפתח API השלב הזה חשוב במיוחד אם מוסיפים הגבלות אחרי המפתח נמצא בשימוש.
אחרי שתשנו את המפתח, תצטרכו לעדכן את כל האפליקציות במפתחות ה-API החדשים, כמו הדרושים.
אם לא קיימת ניצול לרעה של מפתח ה-API שלך, אפשר להעביר את האפליקציות אל מספר מפתחות API חדשים בקצב שלך, בלי לשנות את מפתח ה-API המקורי עד שרואים רק סוג אחד של תנועה, שאליו אפשר להגביל את ה-API מפתחות עם הגבלת גישה. הוראות נוספות זמינות במאמר העברה למספר מפתחות API
מעקב אחר השימוש לאורך זמן, ולראות מתי ממשקי API ספציפיים, סוגי פלטפורמות דומיינים הועברו ממפתח ה-API הישן לפני שבחרת להגביל או להגביל מוחקים את המפתח הישן. מידע נוסף זמין במאמר הבא: דיווח ומעקב וגם מדדים.
אם מפתח ה-API שלך נחשף, ברצונך להעביר מהר יותר אל אבטחה במפתח ה-API ולהפסיק את הניצול לרעה. באפליקציות ל-Android ול-iOS לא מחליפים את המפתחות עד שלקוחות מעדכנים את האפליקציות שלהם. עדכון או החלפה של מפתחות ב-JavaScript או שירותי אינטרנט הרבה יותר פשוטים, אבל הם עדיין עשויים לדרוש תכנון קפדני ועבודה מהירה.
מידע נוסף זמין במאמר הבא: טיפול בשימוש לא מורשה במפתח API.
הגבלת מפתחות ה-API
השיטה המומלצת היא להגביל תמיד את מפתחות ה-API באמצעות אפליקציה הגבלה אחת או יותר על ממשקי API. לגבי הצעות להגבלות על ידי API, ב-SDK או בשירות JavaScript, ראו הגבלות מומלצות על אפליקציות וממשקי API שבהמשך.
הגבלת השימוש באפליקציות אפשר להגביל את השימוש במפתח API למוצרים ספציפיים פלטפורמות: אפליקציות ל-Android או ל-iOS, או אתרים ספציפיים בצד הלקוח אפליקציות, כתובות IP ספציפיות או רשתות משנה מסוג CIDR לאפליקציות בצד השרת הנפקת קריאות API ל-REST של שירותי אינטרנט.
כדי להגביל מפתח, מוסיפים הגבלה אחת או יותר על אפליקציות מסוגים שונים שברצונך לאשר, ולאחר מכן רק בקשות שמגיעות מקורות מותרים.
הגבלות על ממשקי API תוכלו להגביל את ממשקי ה-API של הפלטפורמה של מפות Google, ערכות SDK או שירותים שבהם אפשר להשתמש במפתח ה-API. הגבלות על ממשקי API בלבד לאפשר בקשות לממשקי ה-API ולערכות ה-SDK שציינתם. לכל מפתח API נתון, יכולים לציין כמה הגבלות על ממשקי ה-API שצריך. רשימת ממשקי ה-API הזמינים שכולל את כל ממשקי ה-API שהופעלו בפרויקט.
הגדרת הגבלה על אפליקציות למפתח API
פתיחת מסוף Google Cloud פרטי כניסה לפלטפורמה של מפות Google הדף הזה.
בוחרים את מפתח ה-API שרוצים להגביל.
בדף Edit API key, בקטע Key restrictions, בוחרים הגדרת הגבלה על אפליקציות.
יש לבחור את אחד מסוגי ההגבלות ולספק את המידע המבוקש מתוך רשימת ההגבלות.
סוג ההגבלה תיאור אתרים מציינים אתר מפנה אחד או יותר. - סכימות ה-URI של הגורם המפנה שנתמכות באופן אוניברסלי הן
https
וגםhttp
- יש לספק תמיד את ה-URI המלא של הגורם המפנה, כולל
סכימת הפרוטוקול, שם המארח והיציאה האופציונלית
(למשל
https://google.com
). - אפשר להשתמש בתווים כלליים לחיפוש כדי לאשר את כל תת-הדומיינים. עבור
לדוגמה,
https://*.google.com
מקבל את כל האתרים שמסתיימים ב-.google.com
. שימו לב שאם מציינים www.domain.com, הוא משמש כתו כללי לחיפוש www.domain.com/*, וכן מאשרת כל נתיב משנה בשם המארח הזה. - חשוב להיזהר כשמאשרים גורמים מפנים בנתיב מלא, לדוגמה:
https://google.com/some/path
, כברירת מחדל, רוב הדפדפנים הנוכחיים מסירים את הנתיב מבקשות ממקורות שונים.
כתובות IP צריך לציין כתובת IPv4 או IPv6 אחת או יותר, או רשת משנה אחת באמצעות CIDR . כתובות ה-IP חייבות להתאים לכתובת המקור תצפית על השרתים של הפלטפורמה של מפות Google. אם משתמשים תרגום כתובת רשת (NAT), הכתובת הזו בדרך כלל תואמת לכתובת הציבורית של המחשב שלך כתובת IP. אפליקציות ל-Android מוסיפים את שם החבילה של Android (מתוך AndroidManifest.xml
) וגם SHA-1 טביעת אצבע לאישור של כל אפליקציית Android שרוצים לאישור. אם משתמשים ב-Play App Signing, לטביעת האצבע של אישור החתימה, ראו עבודה עם ספקי API. אם מפתח החתימה מנוהל על ידך: חתימה עצמית על הבקשה או לעיין בהוראות שרלוונטיות לסביבת ה-build שלכם.אפליקציות ל-iOS צריך להוסיף את מזהה החבילה של כל אפליקציית iOS שרוצים לאישור. לקבלת המלצות להגבלה על אפליקציות: הגבלות מומלצות על אפליקציות.
- סכימות ה-URI של הגורם המפנה שנתמכות באופן אוניברסלי הן
לוחצים על שמירה.
הגדרת הגבלות על ממשקי API למפתח API
פתיחת מסוף Google Cloud פרטי כניסה לפלטפורמה של מפות Google הדף הזה.
בוחרים את מפתח ה-API שרוצים להגביל.
בדף Edit API key, בקטע API restrictions:
בוחרים באפשרות Restrict key.
פותחים את Select APIs ובוחרים את ממשקי ה-API או ערכות ה-SDK הרצויים. לגשת לאפליקציה באמצעות מפתח ה-API.
אם API או SDK לא מופיעים ברשימה, צריך להפעיל אותם. פרטים נוספים זמינים במאמר כדי להפעיל ממשק API או SDK אחד או יותר.
לוחצים על שמירה.
אחרי השלב הזה ההגבלה תהפוך לחלק מההגדרה של מפתח ה-API. חשוב לספק את הפרטים המתאימים ולבחור באפשרות שמירה כדי לשמור את הגבלות על מפתחות API. מידע נוסף זמין ב מדריך בנושא קבלת מפתח API במאמרי העזרה של ה-API או ה-SDK הספציפיים שמעניינות אותך.
מידע לגבי הגבלות מומלצות על API זמין במאמר הגבלות מומלצות על ממשקי API.
איך בודקים את השימוש במפתח API
אם אתם מגבילים את מפתחות ה-API אחרי שיוצרים אותם או רוצים לראות את הנתונים באילו ממשקי API משתמשים במפתח כדי להגביל אותם, עליכם לבדוק בשימוש במפתח API. השלבים האלה מראים באילו שירותים ושיטות API נעשה שימוש במפתח API. אם רואים שימוש מעבר שירותי הפלטפורמה של מפות Google, צריך לבדוק אם צריך להוסיף הגבלות נוספות כדי למנוע שימוש לא רצוי. אפשר להשתמש בסייר המדדים במסוף מפות Google כדי לקבל עזרה. לקבוע אילו הגבלות API ואפליקציות יחולו על מפתח ה-API שלכם:
קביעת ממשקי ה-API שמשתמשים במפתח ה-API
דוחות המדדים הבאים מאפשרים לכם לקבוע אילו ממשקי API משתמשים במפתחות ה-API שלך. תוכלו להשתמש בדוחות האלה כדי לבצע את הפעולות הבאות:
- איך אנחנו משתמשים במפתחות ה-API שלכם
- שימוש לא צפוי של Spot
- לעזור לנו לבדוק אם אפשר למחוק מפתח שלא נמצא בשימוש. למידע על מחיקה מפתח API, ראו מחיקת מפתחות API שלא בשימוש.
כשמחילים הגבלות על ממשקי API, צריך להשתמש בדוחות האלה כדי ליצור רשימה של ממשקי API לתת הרשאה, או לאמת הגבלה על מפתחות API שנוצרה באופן אוטומטי המלצות. מידע נוסף על הגבלות מומלצות זמין בכתובת החלת הגבלות מומלצות. מידע נוסף על השימוש דרך סייר המדדים, יצירת תרשימים באמצעות Metrics Explorer.
נכנסים אל Metrics Explorer במסוף Google Cloud.
מתחברים ובוחרים את הפרויקט של מפתחות ה-API שרוצים לבדוק.
נכנסים לדף Metrics explorer לפי סוג ה-API:
למפתחות API שמשתמשים בכל ממשק API חוץ מ-Maps Embed API: עוברים אל הדף הכלי לבדיקת מדדים.
למפתחות API שמשתמשים ב-Maps Embed API: עוברים אל Metrics Explorer.
בודקים כל מפתח API:
בוחרים באפשרות הוספת מסנן.
בוחרים את התווית
credential_id
.בוחרים את הערך שתואם למפתח שרוצים לבדוק.
חשוב לשים לב לאילו ממשקי API מפתח ה-API הזה משמש ומוודאים שהשימוש במפתח הזה מה מצופה.
כשמסיימים, בוחרים באפשרות הסרת המסנן.
בסוף המסנן הפעיל כדי למחוק את המסנן הנוסף.
חוזרים על הפעולה עבור כל המפתחות שנותרו.
הגבלת מפתחות ה-API רק לממשקי ה-API שמשתמשים בהם.
אם זיהית שימוש לא מורשה, ראה: טיפול בשימוש לא מורשה במפתח API.
בחירת הסוג הנכון של הגבלת האפליקציות באמצעות סייר המדדים
לאחר שבדקתם וביצעתם את הפעולות הנדרשות כדי לוודא שמפתח ה-API שלכם משמש רק את שירותי הפלטפורמה של מפות Google שבו הוא משתמש. לוודא שבמפתח ה-API יש את ההגבלות הנכונות על האפליקציות.
אם למפתח ה-API שלכם יש הגבלות מומלצות על מפתחות API, צריך להחיל אותן. לקבלת מידע נוסף מידע נוסף זמין במאמר החלת הגבלות מומלצות על מפתחות API.
אם למפתח ה-API שלכם אין המלצות להגבלה, צריך לקבוע את הסוג
הגבלה שחלה על אפליקציות, על סמך platform_type
שדווחו באמצעות
הכלי למדדים:
נכנסים אל Metrics Explorer במסוף Google Cloud.
מתחברים ובוחרים את הפרויקט של ממשקי ה-API שרוצים לבדוק.
נכנסים לדף הזה של הכלי לניתוח מדדים: הכלי לבדיקת מדדים.
בודקים כל מפתח API:
בוחרים באפשרות הוספת מסנן.
בוחרים את התווית
credential_id
.בוחרים את הערך שתואם למפתח שרוצים לבדוק.
כשמסיימים, בוחרים באפשרות הסרת המסנן.
בסוף המסנן הפעיל כדי למחוק את המסנן הנוסף.
חוזרים על הפעולה עבור כל המפתחות שנותרו.
אחרי שבוחרים את סוג הפלטפורמה למפתחות ה-API, מחילים את האפליקציה הגבלה לגבי
platform_type
:PLATFORM_TYPE_JS
- להחיל הגבלות אתרים על המפתח.
PLATFORM_TYPE_ANDROID
- להחיל הגבלות על אפליקציות ל-Android על המפתח.
PLATFORM_TYPE_IOS
- להחיל הגבלות על אפליקציות ל-iOS על המפתח.
PLATFORM_TYPE_WEBSERVICE
- יכול להיות שתצטרכו להסתמך על הגבלות של כתובות IP במפתח, כדי לפעול כראוי להגביל אותו. לאפשרויות נוספות עבור ה-API הסטטי של מפות Google Street View Static API, ראו הגנה על אפליקציות באמצעות ממשקי API סטטיים לאינטרנט להוראות נוספות עבור Maps Embed API, ראו את אתרים עם Maps Embed API.
- מפתח ה-API שלי משתמש בכמה סוגי פלטפורמות
- אי אפשר לאבטח כראוי את תנועת הגולשים באמצעות מפתח API אחד בלבד. צריך כדי לעבור למפתחות API מרובים. מידע נוסף זמין במאמר הבא: העברה למספר מפתחות API.
שימוש במפתחות API נפרדים לכל אפליקציה
התרגול הזה מגביל את ההיקף של כל מפתח. אם מפתח API אחד נחשף, יכולים למחוק או ליצור מחדש את המפתח המושפע בלי לעדכן את המפתח השני מפתחות API. בכל פרויקט ניתן ליצור עד 300 מפתחות API. לקבלת מידע נוסף, לראות מגבלות על מפתחות API.
למרות שמפתח API אחד לכל אפליקציה אידיאלי למטרות אבטחה, אפשר להשתמש במפתחות מוגבלים בכמה אפליקציות, כל עוד הם משתמשים באותו סוג של הגבלת זמן השימוש באפליקציות.
החלת הגבלות מומלצות על מפתחות API
לחלק מהבעלים והעורכים של הפרויקט, מופיעה הצעה במסוף Google Cloud הגבלות ספציפיות על מפתחות API למפתחות API לא מוגבלים, על סמך השימוש והפעילות בפלטפורמה של מפות Google.
אם האפשרות זמינה, ההמלצות יופיעו כאפשרויות שמולאו מראש פרטי כניסה לפלטפורמה של מפות Google הדף הזה.
סיבות אפשריות לכך שלא רואים המלצה או המלצה חלקית
נעשה (גם) שימוש במפתח ה-API בפלטפורמה אחרת של מפות Google שירותים שונים. אם רואים שימוש בשירותים אחרים, אין להחיל את בלי לבצע קודם את הפעולות הבאות:
איך בודקים איזה שימוש ב-API מוצג במדדים של מסוף Google Cloud שהחוקר הוא חוקי.
מוסיפים באופן ידני שירותים חסרים לרשימת ממשקי ה-API שרוצים לקבל הרשאה.
מוסיפים באופן ידני את כל ההגבלות על אפליקציות חסרות לשירותים שנוספו לרשימת ה-API. אם סוג ההתאמה האחר שהוספת מחייב סוג אחר של הגבלות על אפליקציות: העברה למספר מפתחות API
לא נעשה שימוש במפתח ה-API שלכם בערכות SDK או בממשקי API בצד הלקוח.
אתם משתמשים במפתח ה-API באפליקציה או באתר עם נפח נמוך שלא נוצלו במהלך 60 הימים האחרונים.
יצרתם מפתח חדש ממש לאחרונה, או שפרסתם אותו לאחרונה מפתח קיים באפליקציה חדשה. במקרה כזה, עליך להמתין עוד כמה ימים כדי לאפשר עדכון של ההמלצות.
אתם משתמשים במפתח ה-API בכמה אפליקציות שמצריכות סוגים סותרים של הגבלות על אפליקציות, או שאתם משתמשים מפתח API ביותר מדי אפליקציות או אתרים שונים. בכל מקרה, מומלץ בפועל, צריך לעבור למפתחות מרובים. פרטים נוספים זמינים במאמר העברה למספר מפתחות API
סיבות להצגת המלצות שלא מוצגות בתרשימים
האפליקציה או האתר שלך שלחו רק פרצי תנועה קצרים מאוד. במקרה כזה, מתג מתצוגת CHART כדי להציג טבלה או שניהם, כי השימוש עדיין מופיע במקרא. מידע נוסף זמין במאמר הבא: החלפת המקרא של התרשים המלא.
תנועת הגולשים מגיעה מ-Maps Embed API. הוראות מופיעות זיהוי של ממשקי ה-API שמשתמשים במפתח ה-API.
התנועה מהאפליקציה או מהאתר נמצאת מחוץ לטווח התאריכים הזמין ב בעזרת הכלי למדדים במסוף Google Cloud.
כדי להחיל הגבלות מומלצות
פתיחת מסוף Google Cloud פרטי כניסה לפלטפורמה של מפות Google הדף הזה.
אם האפשרות זמינה, בוחרים באפשרות החלת הגבלות מומלצות.
הערה: אם לא מופיעות הגבלות מומלצות, אפשר לעיין במאמר הגדרת הגבלות API למפתח API כדי להגדיר ההגבלות.
בוחרים באפשרות בדיקת השימוש ב-API כדי לבדוק אילו שירותים מפתח ה-API נשלח. בשימוש. אם מופיעים שירותים נוספים מלבד שירותי הפלטפורמה של מפות Google, צריך pause כדי לבדוק ידנית את שלבי ההמלצה שלמעלה. הצגת פתרון הבעיות את השלבים בתחילת הקטע החלת הגבלות מומלצות על מפתחות API.
כדאי לוודא שההגבלות שמולאו מראש תואמות לאתרים ולאפליקציות שבו אתם מצפים להשתמש במפתח ה-API.
שיטה מומלצת: מתעדים ומסירים הגבלות על אפליקציות או על ממשקי API שאינם משויכים לשירותים שלך. אם משהו נשבר בגלל או תלות בלתי צפויה, תוכלו להוסיף בחזרה את האפליקציות או את ממשקי ה-API הנדרשים.
אם אתם מזהים שאפליקציה, אתר או API חסרים בבירור להוסיף אותו ידנית או להמתין כמה ימים כדי לאפשר המלצה לעדכן.
אם דרושה לך עזרה נוספת לגבי ההמלצה המוצעת, לפנות לתמיכה.
בחר הפעל.
מה לעשות אם הבקשה נדחית לאחר יישום המלצה
אם שמתם לב שאפליקציה או אתר נדחו אחרי שמחילים הגבלה, מחפשים את הגבלת האפליקציות שצריך להוסיף בהודעת השגיאה של ה-API. הודעה.
לגבי ערכות SDK בצד הלקוח:
- אפליקציות JavaScript API של מפות Google: מידע על מסוף ניפוי הבאגים של הדפדפן
- אפליקציות ל-Android: מומלץ להשתמש באפליקציות ל-Android. גשר לניפוי באגים ב-Android (adb) או Logcat
- אפליקציות ל-iOS: תוכלו להיעזר במאמר הצגת הודעות ביומן.
כדי לבדוק את ההגבלות הנדרשות על API: זיהוי של ממשקי ה-API שמשתמשים במפתח ה-API.
אם לא ניתן לקבוע אילו הגבלות להחיל:
- מתעדים את ההגבלות הנוכחיות לשימוש עתידי.
- מומלץ להסיר אותן באופן זמני במהלך בדיקת הבעיה. אפשר לבדוק את בשימוש לאורך זמן לפי השלבים שמפורטים במאמר בדיקת השימוש במפתח API.
- במקרה הצורך, אפשר לפנות לתמיכה.
מחיקת מפתחות API שלא בשימוש
לפני שמוחקים מפתח API, צריך לוודא שלא משתמשים בו בסביבת הייצור. אם המיקום אין תנועה מוצלחת, סביר להניח שהמפתח יימחק. לקבלת מידע נוסף מידע נוסף זמין במאמר איך לבדוק את השימוש במפתחות API.
כדי למחוק מפתח API:
פתיחת מסוף Google Cloud פרטי כניסה לפלטפורמה של מפות Google הדף הזה.
בוחרים את מפתח ה-API שרוצים למחוק.
לוחצים על הלחצן מחיקה בחלק העליון של הדף.
בדף Delete credential (מחיקת פרטי כניסה), בוחרים באפשרות Delete (מחיקה).
המחיקה של מפתח API נמשכת כמה דקות. אחרי ההפצה הושלמה, וכל תנועה שמשתמשת במפתח ה-API שנמחק תידחה.
כדאי להיזהר כשיוצרים מחדש את מפתחות ה-API
יצירה מחדש של מפתח API יוצרת מפתח חדש עם כל ההגבלות. התהליך הזה מתחיל גם טיימר של 24 שעות, שאחריו ממשק ה-API הישן מתחיל נמחק.
במהלך חלון הזמן הזה, מקבלים גם את המפתח הישן וגם את המפתח החדש, וכך מקבלים הזדמנות להעביר את האפליקציות שלך כדי להשתמש במפתח החדש. אבל אחרי התקופה הזו, במשך הזמן, כל האפליקציות שעדיין משתמשות במפתח ה-API הישן יפסיקו לפעול.
לפני יצירה מחדש של מפתח API:
קודם כל צריך לנסות להגביל את מפתחות ה-API כמו שמתואר ב הגבלת מפתחות ה-API.
אם לא ניתן להגביל את מפתח ה-API עקב אפליקציה מתנגשת סוגי ההגבלות, מעבר למספר מפתחות חדשים (מוגבלים) כפי שמתואר העברה למספר מפתחות API ההעברה מתבצעת מאפשרת לשלוט בהעברה והשקת ציר הזמן למפתחות ה-API החדשים.
אם ההצעות הקודמות לא אפשריות, ועליך ליצור מחדש את מפתח API כדי למנוע שימוש לא מורשה, ולאחר מכן יש לפעול לפי השלבים הבאים:
פתיחת מסוף Google Cloud פרטי כניסה לפלטפורמה של מפות Google הדף הזה.
פותחים את מפתח ה-API שרוצים ליצור מחדש.
בחלק העליון של הדף, בוחרים באפשרות Regenerate key.
בוחרים באפשרות החלפת מקש.
הערה: במקרה הצורך, אפשר להחזיר למצב קודם כל מפתח שנוצר מחדש ל- את הגרסה הקודמת שלו. אין מגבלות זמן להחזרה למצב קודם.
כדי להחזיר מפתח שנוצר מחדש
פתיחת מסוף Google Cloud פרטי כניסה לפלטפורמה של מפות Google הדף הזה.
פותחים את מפתח ה-API שרוצים להחזיר לגרסה הקודמת.
בוחרים באפשרות חזרה למפתח הקודם.
בתיבת הדו-שיח חזרה לגרסה המקורית, בוחרים באפשרות חזרה לגרסה המקורית.
לאחר החזרה לגרסה הקודמת, המודל "החדש" הקודם של המפתח הופכת לגרסה הקודמת ומוגדר לה טיימר חדש להשבתה למשך 24 שעות. ייתכן לחזור בין שני ערכי המפתח עד שתיצרו אותו מחדש.
אם תיצרו מחדש את המפתח, הוא יחליף את הערך הישן של המפתח הלא פעיל.
העברה למספר מפתחות API
כדי לעבור משימוש במפתח API אחד לכמה אפליקציות למפתח API ייחודי אחד מבצעים את הפעולות הבאות לכל אפליקציה:
זיהוי האפליקציות שזקוקות למפתחות חדשים:
- הכי קל לעדכן אפליקציות אינטרנט, כי אתם שולטים בכל הקוד. אל תשכחו לעדכן את כל האפליקציות מבוססות-האינטרנט מקשי קיצור.
- אפליקציות לנייד הן הרבה יותר קשים, כי הלקוחות שלכם צריכים לעדכן את האפליקציות שלהם לפני שאפשר יהיה להשתמש במפתחות החדשים.
יצירה והגבלה של המפתחות החדשים: הוספת הגבלה על אפליקציה ולפחות הגבלה אחת על ה-API. מידע נוסף זמין במאמר הבא: שיטות מומלצות.
הוספת המפתחות החדשים לאפליקציות: באפליקציות לנייד, התהליך הזה עשוי עשויים לחלוף כמה חודשים עד שכל המשתמשים יעדכנו לגרסה האחרונה של האפליקציה מפתח API.
הגנה על אפליקציות באמצעות ממשקי API סטטיים לאינטרנט
ממשקי API סטטיים לאינטרנט, כמו ה-API הסטטי של מפות Google ה-API הסטטי של Street View דומה לקריאות ל-API של שירותי אינטרנט.
שולחים קריאה גם באמצעות API פשוט של HTTPS REST, ובדרך כלל יוצרים את ה-API של הבקשה בכתובת ה-URL בשרת. עם זאת, במקום להחזיר תגובת JSON, ממשקי Web API יוצרים תמונה שאפשר להטמיע בקוד ה-HTML שנוצר. סמל האפשרויות הנוספות הדבר החשוב ביותר הוא בדרך כלל הלקוח של משתמש הקצה, ולא השרת, שקורא בשירות הפלטפורמה של מפות Google.
שימוש בחתימה דיגיטלית
מומלץ להשתמש תמיד בחתימות דיגיטליות בנוסף מפתח API. בנוסף, צריך לבדוק כמה בקשות לא חתומות שאתם רוצים לאפשר ביום. שינוי מכסות הבקשות הלא חתומות בהתאם.
לפרטים נוספים על חתימות דיגיטליות, אפשר לעיין ב מדריך לחתימה דיגיטלית
הגן על סוד החתימה שלך
כדי להגן על ממשקי API סטטיים לאינטרנט, אסור להטמיע את סודות החתימה של ה-API ישירות בעץ המקור, או לחשוף אותם באפליקציות בצד הלקוח. הוספה למעקב שיטות מומלצות להגנה על סודות החתימה שלכם:
חותמים על הבקשות בצד השרת, לא על הלקוח. אם אתם מבצעים את החתימה ב-JavaScript מצד הלקוח, אתם חושפים אותו לכל מי שמבקר באתר שלכם. לכן, בתמונות שנוצרות באופן דינמי, צריך תמיד ליצור את מפות Google החתומות כתובות URL של בקשות API סטטי ו-Street View Static API בצד השרת בזמן מילוי בקשות דף האינטרנט. לתוכן סטטי באינטרנט, אפשר להשתמש באפשרות Sign a URL now (חתימה על כתובת URL) בדף Credentials בפלטפורמה של מפות Google ב-Cloud Console.
אחסון סודות חתימה מחוץ לקוד המקור ולעץ המקור של האפליקציה. אם תכניסו את סודות החתימה שלכם או מידע פרטי אחר או שכוללים קבצים שמאוחסנים בנפרד, ואז לשתף את הקוד, וסודות של חתימה לא נכללים בקבצים המשותפים. אם המיקום אם אחסנתם סודות חתימה או כל מידע פרטי אחר בקבצים, את הקבצים מחוץ לעץ המקור של האפליקציה כדי לשמור על סודות החתימה ממערכת בקרת קוד המקור שלכם. אמצעי הזהירות הזה מיושמים במיוחד חשוב אם אתם משתמשים במערכת ציבורית לניהול קוד מקור, כמו GitHub.
הגנה על מפתח ה-API באפליקציות באמצעות שירותי אינטרנט
אחסון מפתחות API מחוץ לאפליקציה את קוד המקור או את עץ המקור שלו. אם תוסיפו את מפתחות ה-API או מידע במשתני סביבה או לכלול קבצים שמאוחסנים בנפרד ואז לשתף את הקוד, מפתחות ה-API לא כלולים משותפים. זה חשוב במיוחד אם משתמשים בקוד מקור ציבורי או מערכת ניהול התוכן, כמו GitHub.
הגנה על מפתח ה-API והסוד לחתימה באפליקציות לנייד באמצעות שירותי אינטרנט או ממשקי API סטטיים לאינטרנט
כדי להגן על אפליקציות לנייד, צריך להשתמש במאגר מפתחות מאובטח או בשרת proxy מאובטח:
אחסון מפתח ה-API או סוד החתימה במאגר מפתחות מאובטח בעקבות השלב הזה קשה יותר לגרד מפתחות API ונתונים פרטיים אחרים ישירות תרגום מכונה.
שימוש בשרת proxy מאובטח. שרת ה-proxy מספק מקור יציב ל- אינטראקציה עם ממשק ה-API המתאים של הפלטפורמה של מפות Google. לקבלת מידע נוסף מידע על השימוש בשרת proxy, ראה לשמור על העניין: שימוש בשרתי proxy עם ספריות הלקוח של Google Data API.
בונים את הבקשות בפלטפורמה של מפות Google בשרת ה-proxy. לא לאפשר ללקוחות להעביר קריאות שרירותיות ל-API דרך שרת ה-proxy.
אחרי עיבוד התגובות של הפלטפורמה של מפות Google בשרת ה-proxy שלכם. מסננים נתונים שהלקוח לא צריך.
טיפול בשימוש לא מורשה במפתח API
אם זיהית שימוש לא מורשה במפתח ה-API, צריך לפעול לפי השלבים הבאים: לטפל בבעיה:
הגבלת המפתחות: אם השתמשתם באותו מקש בכמה אפליקציות, לעבור למספר מפתחות API, ולהשתמש במפתחות API נפרדים לכל אפליקציה. פרטים נוספים זמינים במאמרים הבאים:
רק יוצרים מחדש מפתחות אם לא ניתן להגביל אותם. הקראה כדאי להיזהר כשיוצרים מחדש מפתחות API לפני שממשיכים.
אם הבעיה נמשכת או דרושה לך עזרה, לפנות לתמיכה.
הגבלות מומלצות על אפליקציות וממשקי API
בקטעים הבאים מוצעות הגבלות מתאימות על אפליקציות וממשקי API כל ממשק API, SDK או שירות של הפלטפורמה של מפות Google.
הגבלות מומלצות לשימוש ב-API
ההנחיות הבאות בנושא הגבלות API חלות על כל המשתמשים הפלטפורמה של מפות Google:
מגבילים את מפתח ה-API רק לממשקי ה-API שעבורו אתם משתמשים בו, באמצעות החריגים הבאים:
אם האפליקציה שלך משתמשת ב-Place SDK ל-Android או Places SDK ל-iOS, מאשרים את Places API.
אם האפליקציה משתמשת ב-Maps JavaScript API, תמיד צריך לתת לו הרשאה במפתח.
אם אתם משתמשים גם באחד מהממשקים הבאים של Maps JavaScript API בנוסף, עליך לאשר גם את ממשקי ה-API הבאים:
שירות הגבלת API שירות מסלולים, Maps JavaScript API Directions API שירות מטריצת מרחקים, Maps JavaScript API Distance Matrix API שירות גובה, Maps JavaScript API Elevation API שירות המרת כתובות לקואורדינטות (geocoding), Maps JavaScript API Geocoding API ספריית מקומות, Maps JavaScript API Places API
מספר דוגמאות:
אתם משתמשים ב-SDK של מפות Google ל-Android וגם Places SDK ל-Android, לכן צריך לכלול את SDK של מפות ל-Android ו-Places API בתור הגבלות על ממשקי API.
האתר שלכם משתמש ב-Maps JavaScript API שירות גובה API הסטטי של מפות Google, כך שניתן להוסיף הגבלות API לכל ממשקי ה-API הבאים:
- Maps JavaScript API
- Elevation API
- Maps Static API
הגבלה מומלצת של האפליקציה
אתרים עם Maps JavaScript API או Static Web API
אם אתם משתמשים בשירותי JavaScript של מפות Google או בממשקי API סטטיים לאינטרנט, צריך להשתמש ב-
הגבלה של Websites
על אפליקציות.
משמש לאתרים שמשתמשים בשירותי JavaScript וממשקי ה-API הבאים:
1 לגבי אפליקציות לנייד, כדאי לשקול באמצעות השפה המקורית SDK של מפות ל-Android ו-Maps SDK ל-iOS.
2 למידע נוסף הגנה על אפליקציות לנייד באמצעות שירותי אינטרנט או ממשקי API סטטיים לאינטרנט.
אתרים עם Maps Embed API
למרות שהשימוש ב-Maps Embed API הוא בחינם, עדיין להגביל כל מפתח API שנמצא בשימוש כדי למנוע ניצול לרעה של שירותים אחרים.
שיטה מומלצת: כדאי ליצור מפתח API נפרד ל-Maps Embed API להשתמש במפתח הזה ולהגביל אותו רק לממשק ה-API של מפות Google להטמעה. הזה מאבטחת מספיק את המפתח, ומונעת שימוש לא מורשה במפתח שירות אחר של Google.
אם לא הצלחת להפריד את השימוש שלך ב-Maps Embed API
מפתח API נפרד, יש לאבטח את המפתח באמצעות Websites
הגבלת זמן השימוש באפליקציות.
אפליקציות ושרתים שמשתמשים בשירותי אינטרנט
לאפליקציות ושרתים שמשתמשים בשירותי אינטרנט, יש להשתמש ב-IP addresses
הגבלת זמן השימוש באפליקציות.
משמש לאפליקציות ולשרתים שמשתמשים בממשקי ה-API הבאים:
3 באפליקציות לנייד, מומלץ להשתמש המקורית Places SDK ל-Android ו-Places SDK ל-iOS.
אפליקציות ל-Android
לאפליקציות ב-Android, צריך להשתמש בהגבלת האפליקציה Android apps
.
משמש לאפליקציות ושרתים שמשתמשים בערכות ה-SDK הבאות:
בנוסף, מונעים בדיקה בטעות של מפתחות API לניהול הגרסאות באמצעות באמצעות מדריך הסודות פלאגין להחדרת סודות מקובץ מקומי במקום לאחסן אותם במניפסט של Android.
אפליקציות ל-iOS
לאפליקציות ב-iOS, צריך להשתמש בהגבלת האפליקציות, iOS apps
.
משמש לאפליקציות ושרתים שמשתמשים בערכות ה-SDK הבאות: