Em apps e projetos com os SDKs e as APIs da Plataforma Google Maps, é necessário usar chaves de API ou, se compatível, o OAuth, evitando cobranças e uso não autorizados. Se você usa chaves de API, aplique restrições a elas na criação para ter máxima segurança. Estas práticas recomendadas mostram como fazer isso.
Além disso, para aplicar restrições à chave de API e ao aplicativo, siga as práticas de segurança relacionadas aos produtos específicos da Plataforma Google Maps. Por exemplo, saiba mais sobre a API Maps JavaScript abaixo em Restrições recomendadas de API e aplicativo.
Se você já utiliza as chaves de API, confira as recomendações abaixo em Se você estiver restringindo ou gerando novamente uma chave de API em uso.
Para mais detalhes sobre assinaturas digitais, consulte o Guia de assinatura digital.
Práticas recomendadas
Para ter mais proteção e evitar cobranças por uso não autorizado, siga estas práticas recomendadas de segurança de API relacionadas a todos os serviços, SDKs ou APIs da Plataforma Google Maps:
Recomendado para todos os usos da chave de API
Usar chaves de API diferentes em cada app
Excluir chaves de API não usadas
Verificar o uso da sua chave de API
Cuidado ao gerar novamente as chaves de API
Mais recomendações para sites que usam APIs Static Web
Proteger os apps que usam APIs Static Web
Mais recomendações para apps que usam serviços da Web
Proteger os apps que usam serviços da Web
Mais recomendações para aplicativos móveis iOS e Android
Proteger os apps para dispositivos móveis que usam serviços da Web ou APIs Static Web
Se você estiver restringindo ou gerando novamente uma chave de API em uso
Antes de mudar a chave de API, verifique a utilização dela. Essa etapa é muito importante se você está adicionando restrições com a chave em uso.
Depois da mudança, atualize todos os apps com as novas chaves de API, conforme necessário.
Se não houver abuso da chave de API, você poderá migrar seus apps para várias chaves novas no seu próprio ritmo e manter a original até que haja apenas um tipo de tráfego com chaves que podem receber uma restrição de aplicativo. Se quiser mais detalhes, consulte Migrar para várias chaves de API.
Monitore o uso ao longo do tempo e saiba quando APIs, tipos de plataformas e domínios específicos migraram da chave de API antiga antes de restringir ou excluir essa chave. Para mais informações, consulte Relatórios e monitoramento e Métricas.
Se a chave de API foi comprometida, é necessário agir rápido para proteger a chave e deter o abuso. Em apps Android e iOS, as chaves não são substituídas até que os clientes façam a atualização dos aplicativos. Atualizar ou substituir chaves em apps de serviços da Web ou JavaScript é muito mais simples, mas ainda exige planejamento cuidadoso e atuação rápida.
Para mais informações, consulte Abordagem quanto ao uso não autorizado de uma chave de API.
Restringir suas chaves de API
A prática recomendada é sempre limitar as chaves de API com uma restrição de aplicativo e uma ou mais de API. Para conferir restrições sugeridas por serviço de API, SDK ou JavaScript, consulte Restrições recomendadas de API e aplicativo abaixo.
Restrição de aplicativo: você pode limitar o uso de uma chave de API a plataformas específicas: aplicativos Android ou iOS, sites para aplicativos no lado do cliente, endereços IP ou sub-redes do CIDR de apps no lado do servidor que emitem chamadas de API REST em serviços da Web.
Você limita uma chave adicionando uma ou mais restrições de aplicativo do tipo que você quer autorizar. Depois disso, apenas solicitações dessas origens são permitidas.
Restrições de API: você pode limitar as APIs, os SDKs ou os serviços da Plataforma Google Maps em que a chave de API pode ser usada. As restrições de API permitem solicitações apenas às APIs e SDKs especificados por você. É possível definir quantas restrições de API forem necessárias para uma chave. A lista de APIs disponíveis inclui todas aquelas que estão ativas em um projeto.
Definir uma restrição de aplicativo para uma chave de API
Abra a página Credenciais da Plataforma Google Maps no console do Google Cloud.
Selecione a chave de API que você quer restringir.
Na página Editar chave de API, em Restrições de chave, selecione Definir uma restrição de aplicativo.
Selecione um dos tipos de restrições e insira as informações pedidas seguindo a lista.
Tipo de restrição Descrição Sites Especifique um ou mais sites de referenciadores. - Os esquemas de URI do referenciador com suporte universal são
https
ehttp
. - Sempre informe o URI completo do referenciador, incluindo o esquema do protocolo, o nome do host e a porta opcional (por exemplo,
https://google.com
). - Você pode usar caracteres curinga para autorizar todos os subdomínios. Por exemplo,
https://*.google.com
aceita todos os sites que terminam em.google.com
. Se você especificar www.domain.com, ele vai funcionar como um caractere curinga www.domain.com/* e vai autorizar todos os subcaminhos nesse nome de host. - Tenha cuidado ao autorizar referenciadores de caminho completo (por exemplo,
https://google.com/some/path
), já que, por padrão, a maioria dos navegadores atuais remove o caminho de solicitações de origem cruzada.
Endereços IP Especifique um ou mais endereços IPv4 ou IPv6 ou sub-redes usando notação do CIDR. Os endereços IP precisam corresponder ao endereço da origem que os servidores da Plataforma Google Maps observam. Se você usa conversão de endereços de rede (NAT), esse endereço geralmente corresponde ao endereço IP público da sua máquina. Apps Android Adicione o nome do pacote Android (do arquivo AndroidManifest.xml
) e a impressão digital do certificado de assinatura SHA-1 de cada app Android que você quer autorizar. Se você usa a Assinatura de apps do Google Play, para buscar a impressão digital do certificado de assinatura, consulte Como trabalhar com provedores de API. Se você gerencia sua própria chave de assinatura, consulte Como assinar seu aplicativo automaticamente ou as instruções para seu ambiente de build.Apps iOS Adicione o identificador do pacote de cada app iOS que você quer autorizar. Para consultar restrições sugeridas de aplicativo, acesse Restrição recomendada de aplicativo.
- Os esquemas de URI do referenciador com suporte universal são
Escolha Salvar.
Definir restrições de API para uma chave de API
Abra a página Credenciais da Plataforma Google Maps no console do Google Cloud.
Selecione a chave de API que você quer restringir.
Na página Editar chave de API, em Restrições de API:
Selecione Restringir chave.
Abra Selecionar APIs e escolha as APIs ou os SDKs a que seu aplicativo terá acesso usando a chave de API.
Ative as APIs ou os SDKs caso eles não apareçam na lista. Se precisar de mais informações, consulte Para ativar uma ou mais APIs ou SDKs.
Escolha Salvar.
Após essa etapa, a restrição vai se tornar parte da definição da chave de API. Não se esqueça de incluir os detalhes apropriados e escolher Salvar para salvar as restrições da chave de API. Para mais informações, consulte o guia Gerar uma chave de API na documentação da API ou do SDK em que você tem interesse.
Confira mais detalhes sobre as restrições recomendadas de API.
Verificar o uso da sua chave de API
Se você estiver restringindo chaves de API depois da criação delas ou se quiser saber quais APIs estão sendo usadas por uma chave para aplicar limitações a elas, verifique o uso da chave de API. Estas etapas mostram em que serviços e métodos de API uma chave de API está sendo usada. Se houver qualquer uso além dos serviços da Plataforma Google Maps, investigue para determinar se é necessário adicionar mais restrições e evitar utilização indesejada. Você pode usar o Metrics Explorer do console do Cloud na Plataforma Google Maps para determinar qual restrição de API e aplicativo vai ser aplicada à chave de API:
Determinar as APIs que usam a chave de API
Com os relatórios de métricas a seguir, você consegue determinar quais APIs estão usando suas chaves. Use esses relatórios para fazer o seguinte:
- Saber como suas chaves de API estão sendo usadas.
- Identificar uso inesperado.
- Verificar se é seguro excluir uma chave não usada. Para informações sobre como remover uma chave de API, consulte Excluir chaves de API não usadas.
Ao aplicar restrições de API, use esses relatórios para criar uma lista de APIs que serão autorizadas ou validar recomendações de restrição de chaves de API geradas automaticamente. Para mais detalhes sobre restrições sugeridas, consulte Aplicar restrições recomendadas. Se quiser saber como usar o Metrics Explorer, acesse Criar gráficos com o Metrics Explorer.
Acesse o Metrics Explorer do console do Google Cloud.
Faça login e selecione o projeto das chaves de API que você quer verificar.
Acesse a página "Metrics Explorer" do seu tipo de API:
Para chaves de API que usam qualquer API, exceto a API Maps Embed: acesse a página Metrics Explorer.
Para chaves de API que utilizam a API Maps Embed: acesse Metrics Explorer.
Inspecione cada chave de API:
Selecione ADICIONAR FILTRO.
Escolha o marcador
credential_id
.Selecione o valor que corresponde à chave que você quer inspecionar.
Observe em quais APIs essa chave de API está sendo usada e confirme se o uso é esperado.
Quando terminar, escolha Remover filtro
no fim da linha do filtro ativo para excluir o filtro extra.
Repita o processo para as chaves restantes.
Restrinja as chaves apenas às APIs que estão sendo usadas.
Se você identificar uso não autorizado, consulte Abordagem quanto ao uso não autorizado de uma chave de API.
Escolher o tipo correto de restrição de aplicativo usando o Metrics Explorer
Depois de verificar e tomar as medidas necessárias para garantir que a chave de API esteja sendo usada apenas nos serviços da Plataforma Google Maps, confirme se ela tem as restrições de aplicativo corretas.
Aplique as restrições recomendadas da chave de API. Para mais detalhes, consulte Aplicar restrições recomendadas de chave de API.
Se a sua chave de API não tiver sugestões de restrição, determine o tipo de restrição de aplicativo que será usado, com base no platform_type
informado no Metrics Explorer:
Acesse o Metrics Explorer do console do Google Cloud.
Faça login e selecione o projeto das APIs que você quer verificar.
Acesse esta página: Metrics Explorer.
Inspecione cada chave de API:
Selecione ADICIONAR FILTRO.
Escolha o marcador
credential_id
.Selecione o valor que corresponde à chave que você quer inspecionar.
Quando terminar, escolha Remover filtro
no fim da linha do filtro ativo para excluir o filtro extra.
Repita o processo para as chaves restantes.
Assim que você tiver o tipo de plataforma para suas chaves de API, aplique a restrição de aplicativo para esse
platform_type
:PLATFORM_TYPE_JS
- Aplique restrições de site à chave.
PLATFORM_TYPE_ANDROID
- Aplique restrições de aplicativo Android à chave.
PLATFORM_TYPE_IOS
- Aplique restrições de aplicativo iOS à chave.
PLATFORM_TYPE_WEBSERVICE
- Talvez você tenha que usar restrições de endereço IP para limitar a chave de fato. Se quiser saber quais são as outras opções para a API Maps Static e a API Street View Static, consulte Proteger os apps que usam APIs Static Web. Confira mais instruções para a API Maps Embed em Sites com a API Maps Embed.
- Minha chave de API está usando vários tipos de plataformas
- Seu tráfego não pode ser protegido de forma adequada com apenas uma chave de API. Você precisa migrar para várias chaves de API. Se quiser mais informações, consulte Migrar para várias chaves de API.
Usar chaves de API diferentes em cada app
Essa prática limita o escopo de cada chave. Se uma chave de API for comprometida, vai ser possível excluir e gerar novamente essa chave sem precisar atualizar as outras. É possível criar até 300 chaves de API por projeto. Para mais informações, consulte Limites em chaves de API.
Embora uma chave de API por aplicativo seja ideal para fins de segurança, é possível usar chaves restritas em vários apps, contanto que elas tenham o mesmo tipo de restrição de aplicativo.
Aplicar restrições recomendadas à chave de API
Para alguns proprietários de projetos e editores, o console do Google Cloud sugere limitações específicas para chaves de API sem restrição com base no uso e na atividade da Plataforma Google Maps.
Se disponíveis, as recomendações aparecem como opções pré-preenchidas na página Credenciais da Plataforma Google Maps.
Motivos para recomendações não aparecerem ou serem mostradas incompletas para você
Você está usando a chave de API em outros serviços além da Plataforma Google Maps. Nesse caso, não implemente a recomendação antes de fazer o seguinte:
Verifique se é legítimo o uso da API no Metrics Explorer do console do Google Cloud.
Inclua de forma manual os serviços que estão faltando na lista de APIs que precisam de autorização.
Adicione manualmente as restrições de aplicativo que estão faltando para os serviços incluídos na lista de APIs. Se isso exigir outro tipo de restrições de aplicativo, consulte Migrar para várias chaves de API.
Sua chave de API não está sendo usada em SDKs ou APIs no lado do cliente.
Você está utilizando a chave de API em um app ou site de baixo volume que não foi usado nos últimos 60 dias.
Você criou uma chave ou implantou uma em um novo app recentemente. Se for o caso, aguarde mais alguns dias para que as recomendações sejam atualizadas.
Você está usando a chave de API em vários aplicativos que exigem tipos conflitantes de restrições de aplicativo ou a mesma chave em muitos apps ou sites diferentes. Nos dois casos, a prática recomendada é migrar para várias chaves. Se quiser mais detalhes, consulte Migrar para várias chaves de API.
Motivos para recomendações que não estão nos gráficos aparecerem para você
Seu app ou site envia apenas bursts bem curtos de tráfego. Nesse caso, mude a visualização de GRÁFICO para TABELA ou para AMBOS, uma vez que o uso continua visível na legenda. Para mais informações, consulte Ativar as legendas completas do gráfico.
Seu tráfego vem da API Maps Embed. Para instruções, consulte Determinar as APIs que usam a chave de API.
O tráfego do app ou site está fora do período disponível no Metrics Explorer do console do Google Cloud.
Para aplicar restrições recomendadas
Abra a página Credenciais da Plataforma Google Maps no console do Google Cloud.
Se disponível, selecione Aplicar restrições recomendadas.
Observação: se nenhuma restrição recomendada aparecer, consulte Definir restrições de API para uma chave de API.
Selecione Verificar o uso da API para consultar quais serviços estão utilizando a chave de API. Se houver outros além dos serviços da Plataforma Google Maps, pause e revise manualmente seguindo as recomendações acima. Consulte as etapas para resolver problemas no começo da seção Aplicar restrições recomendadas à chave de API.
Confira se as restrições pré-preenchidas correspondem aos sites e apps em que você espera usar sua chave de API.
Prática recomendada: documente e remova as restrições de aplicativo ou API que não estejam associadas aos seus serviços. Se ocorrer algum erro devido a uma dependência inesperada, você poderá adicionar novamente as APIs ou apps necessários.
Se você reconhecer que um aplicativo, site ou API está faltando na sua recomendação, adicione manualmente ou espere alguns dias até que a sugestão seja atualizada.
Procure o suporte se precisar de mais ajuda com a recomendação.
Selecione Aplicar.
O que fazer se o aplicativo for rejeitado após a aplicação de uma recomendação
Se você notar que um app ou site foi rejeitado depois da aplicação de uma restrição, procure a restrição de aplicativo que você precisa adicionar na mensagem de erro de resposta da API.
Para SDKs no lado do cliente, confira abaixo:
- Apps da API Maps JavaScript: consulte o console de depuração do navegador
- Apps Android: use o Android Debug Bridge (adb) ou o Logcat
- Apps iOS: acesse Consultar mensagens de registro (link em inglês)
Para verificar as restrições de API necessárias, consulte Determinar as APIs que usam a chave de API.
Se não conseguir determinar quais restrições serão aplicadas:
- Documente as restrições atuais para referência futura.
- Remova as restrições por enquanto e investigue o problema. Para saber qual foi o uso ao longo do tempo, consulte Verificar o uso da sua chave de API e siga as etapas.
- Se necessário, entre em contato com o suporte.
Excluir chaves de API não usadas
Antes de remover uma chave de API, verifique se ela não está sendo utilizada em produção. Se não houver tráfego bem-sucedido, a chave poderá ser excluída. Para mais informações, consulte Verificar o uso da sua chave de API.
Para excluir uma chave de API:
Abra a página Credenciais da Plataforma Google Maps no console do Google Cloud.
Selecione a chave de API que você quer remover.
Clique no botão Excluir na parte de cima da página.
Na página Excluir credencial, selecione Excluir.
A remoção de uma chave de API leva alguns minutos para ser propagada. Após o término da propagação, todo tráfego que usar a chave de API excluída será recusado.
Cuidado ao gerar novamente as chaves de API
Gerar uma chave novamente cria outra chave com todas as restrições da antiga. Esse processo também começa 24 horas depois que a chave de API antiga é excluída.
Durante esse período, a chave antiga e a nova são aceitas. Assim, você pode migrar seus apps para usar a nova chave. Mas, depois disso, os apps que ainda utilizarem a chave de API antiga vão parar de funcionar.
Antes de gerar novamente uma chave de API:
Primeiro, tente limitar as chaves de API, como descrito em Restringir suas chaves de API.
Se não for possível fazer isso devido a tipos de restrições de aplicativo conflitantes, migre para várias chaves novas (restritas), como descrito em Migrar para várias chaves de API. É você quem controla os prazos de migração e lançamento das novas chaves de API.
Se não for possível aplicar as sugestões acima, e você tiver que gerar novamente sua chave de API para evitar o uso não autorizado:
Abra a página Credenciais da Plataforma Google Maps no console do Google Cloud.
Abra a chave de API que você quer gerar novamente.
Na parte de cima da página, selecione Gerar chave novamente.
Escolha Substituir chave.
Observação: se necessário, você poderá reverter para a versão anterior qualquer chave que tenha sido gerada novamente. Não há limite de tempo para a reversão.
Para reverter uma chave gerada novamente
Abra a página Credenciais da Plataforma Google Maps no console do Google Cloud.
Abra a chave de API que você quer reverter.
Selecione Reverter para a chave anterior.
Na caixa de diálogo Reverter, escolha Reverter chave.
Após a reversão, a versão "nova" da chave se torna a versão anterior, e um timer de desativação em 24 horas é iniciado. É possível reverter entre esses dois valores até que você gere a chave mais uma vez.
Se você gerar novamente a chave pela segunda vez, ela vai substituir o valor da chave inativa antiga.
Migrar para várias chaves de API
Se quiser usar uma única chave de API exclusiva para cada app, em vez de uma chave em vários aplicativos:
Identifique quais apps vão precisar de novas chaves:
- Os apps da Web são mais fáceis de atualizar, já que você controla todo o código. Atualize todas as chaves dos seus apps baseados na Web.
- O processo é mais complexo em apps para dispositivos móveis, porque os clientes precisam atualizar o aplicativo antes de usar as novas chaves.
Crie e restrinja as novas chaves: adicione uma restrição de aplicativo e, pelo menos, uma de API. Para mais informações, consulte Práticas recomendadas.
Adicione as novas chaves aos seus apps: nos aplicativos para dispositivos móveis, esse processo pode levar meses até que todos os usuários atualizem com a versão mais recente e a nova chave de API.
Proteger os apps que usam APIs Static Web
As APIs Static Web, como Maps Static e Street View Static, são semelhantes às chamadas de API dos serviços da Web.
É possível chamar ambas usando uma API REST HTTPS simples, e o URL da solicitação de API costuma ser gerado no servidor. No entanto, em vez de retornar uma resposta JSON, as APIs Static Web geram uma imagem que você pode incorporar ao código HTML criado. O mais importante é que geralmente é o cliente do usuário final, não o servidor, que chama o serviço da Plataforma Google Maps.
Usar uma assinatura digital
Como prática recomendada, sempre use assinaturas digitais além da chave de API. Além disso, revise quantas solicitações não assinadas você quer permitir por dia e ajuste as cotas conforme necessário.
Para mais detalhes sobre assinaturas digitais, consulte o Guia de assinatura digital.
Proteger a chave secreta de assinatura
Para proteger as APIs Static Web, não incorpore chaves secretas de assinatura da API diretamente ao código ou à árvore de origem nem exponha nos aplicativos no lado do cliente. Siga estas práticas recomendadas para proteger suas chaves secretas de assinatura:
Assine suas solicitações no lado do servidor, não do cliente. Se for no lado do cliente e em JavaScript, você expõe a assinatura para qualquer pessoa que acessa o site. Portanto, para imagens geradas de forma dinâmica, sempre gere URLs de solicitação das APIs Maps Static e Street View Static assinados no lado do servidor ao veicular a página da Web. Para conteúdo da Web estático, você pode usar o widget Assinar um URL agora na página Credenciais da Plataforma Google Maps no console do Cloud.
Armazene chaves secretas de assinatura fora do código-fonte e da árvore de origem do seu aplicativo. Se você colocar essas chaves secretas ou qualquer outra informação particular em variáveis de ambiente ou adicionar arquivos armazenados de forma separada e, depois, compartilhar seu código, as chaves secretas de assinatura não vão ser incluídas nos arquivos compartilhados. Se você armazenar essas chaves ou outras informações particulares em arquivos, mantenha esses documentos fora da árvore de origem do aplicativo e, portanto, do sistema de controle do código-fonte. Essa precaução é especialmente importante se você usa um sistema de gerenciamento de código-fonte público, como o GitHub.
Proteger a chave de API em apps que usam serviços da Web
Armazene chaves de API fora do código-fonte ou da árvore de origem do seu aplicativo. Se você colocar essas chaves ou outras informações particulares em variáveis de ambiente ou adicionar arquivos armazenados de forma separada e, depois, compartilhar seu código, as chaves de API não vão ser incluídas nos arquivos compartilhados. Isso é especialmente importante se você usa um sistema de gerenciamento de código-fonte público, como o GitHub.
Proteger a chave de API e a chave secreta de assinatura em apps para dispositivos móveis que usam serviços da Web ou APIs Static Web
Ao proteger apps para dispositivos móveis, use uma keystore ou um servidor proxy seguros:
Armazene a chave de API ou a chave secreta de assinatura em uma keystore segura. Essa etapa dificulta a raspagem das chaves de API e de outros dados particulares diretamente do aplicativo.
Use um servidor proxy seguro. O servidor proxy oferece uma boa fonte para interagir com a API apropriada da Plataforma Google Maps. Para saber como utilizar um servidor proxy, consulte Living Vicariously: usar servidores proxy com as bibliotecas de cliente da API Google Data.
Construa solicitações da Plataforma Google Maps no servidor proxy. Não permita que os clientes redirecionem chamadas de API arbitrárias usando o proxy.
Faça o pós-processamento das respostas da Plataforma Google Maps no seu servidor proxy. Filtre os dados que o cliente não precisa.
Usar a verificação de app para proteger sua chave de API
Alguns SDKs e APIs do Maps permitem a integração com o Firebase App Check. O App Check oferece proteção para chamadas do seu app para a Plataforma Google Maps, bloqueando o tráfego que vem de fontes diferentes de apps legítimos. Para isso, ele verifica um token de um provedor de atestado. A integração dos seus apps com o App Check ajuda a proteger contra solicitações maliciosas, para que você não seja cobrado por chamadas de API não autorizadas.
Instruções de integração do App Check:
Abordagem para o uso não autorizado de uma chave de API
Se você detectar uso não autorizado da sua chave de API, faça o seguinte para lidar com o problema:
Restrinja suas chaves: se você usou a mesma chave em vários apps, migre para várias chaves de API, e use chaves diferentes em cada app. Encontre mais informações em:
Só gere novamente as chaves se não for possível fazer a restrição delas. Consulte bem a seção Cuidado ao gerar novamente as chaves de API antes de continuar.
Se você ainda tiver problemas ou precisar de ajuda, entre em contato com o suporte.
Restrições recomendadas de API e aplicativo
Nas seções abaixo, sugerimos restrições de aplicativo e API apropriadas para cada API, SDK ou serviço da Plataforma Google Maps.
Restrições recomendadas de API
As seguintes diretrizes para restrições de API se aplicam a toda a Plataforma Google Maps:
Restrinja sua chave às APIs que você está usando com ela, exceto nos seguintes casos:
Se o seu app usa o SDK do Places para Android ou iOS, autorize a API Places.
Se o app utiliza a API Maps JavaScript, sempre autorize essa API na sua chave.
Se você também usa algum dos seguintes serviços da API Maps JavaScript, autorize as seguintes APIs:
Serviço Restrição de API Serviço Directions, API Maps JavaScript API Directions Serviço Distance Matrix, API Maps JavaScript API Distance Matrix Serviço Elevation, API Maps JavaScript API Elevation Serviço Geocoding, API Maps JavaScript API Geocoding Biblioteca Places, API Maps JavaScript API Places
Alguns exemplos:
Você está usando o SDK do Maps e o SDK do Places para Android, por isso incluí o SDK do Maps para Android e a API Places como restrições de API.
Seu site usa as APIs Maps JavaScript, Elevation Service e Maps Static, então você adiciona restrições a todas estas APIs:
- API Maps JavaScript
- API Elevation
- API Maps Static
Restrição recomendada de aplicativo
Sites com a API Maps JavaScript ou API Static Web
Em sites que usam os serviços da API Maps JavaScript ou as APIs Static Web, aplique a restrição de aplicativo Websites
.
Aplique a sites que usam serviços JavaScript e APIs:
1 Em aplicativos para dispositivos móveis, é recomendável usar o SDK do Maps para Android e o SDK do Maps para iOS nativos.
2 Consulte também Proteger os apps para dispositivos móveis que usam serviços da Web ou APIs Static Web.
Sites com a API Maps Embed
Embora o uso da API Maps Embed não tenha sem custo financeiro, ainda é possível restringir a chave de API usada para evitar abuso em outros serviços.
Prática recomendada: crie outra chave para a API Maps Embed e restrinja apenas à API Maps Embed. Essa restrição protege a chave de forma suficiente, evitando uso não autorizado em qualquer outro Serviço do Google.
Se não for possível utilizar a API Maps Embed com uma chave de API diferente, proteja a chave usando a restrição de aplicativo Websites
.
Apps e servidores que usam serviços da Web
Em apps e servidores que utilizam serviços da Web, use a restrição de aplicativo IP addresses
.
Apps e servidores que usam estas APIs:
3 Em apps para dispositivos móveis, considere usar o SDK do Places para Android e o SDK do Places para iOS nativos.
Apps Android
Em apps Android, utilize a restrição de aplicativo Android apps
.
Apps e servidores que usam estes SDKs:
Além disso, evite a verificação acidental de chaves de API no controle de versões usando o plug-in Secrets Gradle para injetar chaves secretas de um arquivo local em vez de armazená-las no Android Manifest.
Apps iOS
Em apps iOS, utilize a restrição de aplicativo iOS apps
.
Apps e servidores que usam estes SDKs:
Informações relacionadas
- Como otimizar o uso da Plataforma Google Maps com cotas (vídeo)
- Como gerar e restringir chaves de API para a Plataforma Google Maps (vídeo)
- Restringir chaves de API (link em inglês)
- Proteger chaves de API ao usar as APIs Static Maps e Street View (link em inglês)
- Quinze práticas recomendadas da Plataforma Google Maps (link em inglês)