Hướng dẫn bảo mật dành cho Nền tảng Google Maps

Đối với các ứng dụng và dự án sử dụng API và SDK của Nền tảng Google Maps, bạn phải sử dụng khoá API hoặc Oauth (nếu được hỗ trợ) để ngăn chặn việc sử dụng và tính phí trái phép. Nếu bạn sử dụng khoá API, để đảm bảo an toàn tối đa, hãy hạn chế khoá API khi tạo. Những phương pháp hay nhất này sẽ hướng dẫn bạn cách hạn chế các hành vi đó.

Ngoài việc áp dụng các quy định hạn chế đối với ứng dụng và khoá API, hãy tuân thủ mọi phương pháp bảo mật áp dụng cho các sản phẩm cụ thể của Nền tảng Google Maps. Ví dụ: hãy xem API JavaScript của Maps bên dưới trong phần Các hạn chế về API và ứng dụng được đề xuất.

Nếu khoá API của bạn đang được sử dụng, hãy xem các đề xuất bên dưới trong phần Nếu bạn đang hạn chế hoặc tạo lại khoá API đang được sử dụng.

Để biết thêm thông tin chi tiết về chữ ký số, hãy xem Hướng dẫn về chữ ký số.

Các phương pháp hay nhất được đề xuất

Để tăng cường bảo mật và tránh bị tính phí cho việc sử dụng trái phép, hãy làm theo các phương pháp hay nhất về bảo mật API sau đây cho tất cả API, SDK hoặc dịch vụ của Nền tảng Google Maps:

Hạn chế khoá API

Sử dụng các khoá API riêng biệt cho từng ứng dụng

Xoá khoá API không dùng đến

Kiểm tra mức sử dụng khoá API

Thận trọng khi tạo lại khoá API

Các đề xuất khác dành cho trang web sử dụng API web tĩnh

Bảo vệ ứng dụng bằng Static Web API

Các đề xuất khác cho ứng dụng sử dụng dịch vụ web

Bảo vệ ứng dụng bằng dịch vụ web

Các đề xuất bổ sung cho ứng dụng di động iOS và Android

Bảo vệ ứng dụng di động bằng cách sử dụng Dịch vụ web hoặc API web tĩnh

Nếu bạn đang hạn chế hoặc tạo lại khoá API đang được sử dụng

  • Trước khi thay đổi khoá API, hãy Kiểm tra mức sử dụng khoá API. Bước này đặc biệt quan trọng nếu bạn thêm các quy tắc hạn chế sau khi khoá đang được sử dụng.

  • Sau khi bạn thay đổi khoá, hãy cập nhật tất cả ứng dụng bằng khoá API mới nếu cần.

  • Nếu không có hành vi sử dụng sai trái nào đối với khoá API, bạn có thể di chuyển ứng dụng sang nhiều khoá API mới theo tốc độ của riêng mình mà không làm ảnh hưởng đến khoá API ban đầu cho đến khi bạn chỉ thấy một loại lưu lượng truy cập. Sau đó, bạn có thể hạn chế các khoá API bằng quy tắc hạn chế ứng dụng. Để biết thêm hướng dẫn, hãy xem phần Di chuyển sang nhiều khoá API.

    Theo dõi mức sử dụng theo thời gian và xem thời điểm các API, loại nền tảng và miền cụ thể đã di chuyển khỏi khoá API cũ trước khi bạn chọn hạn chế hoặc xoá khoá cũ. Để biết thêm thông tin, hãy xem phần Báo cáo và giám sátChỉ số.

  • Nếu khoá API của bạn bị xâm phạm, bạn nên nhanh chóng bảo mật khoá API và ngăn chặn hành vi sử dụng sai mục đích. Trong ứng dụng Android và iOS, các khoá sẽ không được thay thế cho đến khi khách hàng cập nhật ứng dụng. Việc cập nhật hoặc thay thế khoá trong JavaScript hoặc ứng dụng dịch vụ web đơn giản hơn nhiều, nhưng vẫn có thể yêu cầu bạn lập kế hoạch cẩn thận và làm việc nhanh chóng.

    Để biết thêm thông tin, hãy xem phần Xử lý việc sử dụng trái phép khoá API.

Hạn chế khoá API

Phương pháp hay nhất là luôn hạn chế khoá API bằng một quy tắc hạn chế ứng dụng và một hoặc nhiều quy tắc hạn chế API. Để biết các hạn chế được đề xuất theo API, SDK hoặc dịch vụ JavaScript, hãy xem phần Hạn chế được đề xuất đối với ứng dụng và API bên dưới.

  • Hạn chế ứng dụng Bạn có thể giới hạn việc sử dụng khoá API ở một số nền tảng cụ thể: ứng dụng Android hoặc iOS, hoặc một số trang web cụ thể cho ứng dụng phía máy khách, hoặc một số địa chỉ IP hoặc mạng con CIDR cụ thể cho ứng dụng phía máy chủ phát lệnh gọi API REST của dịch vụ web.

    Bạn hạn chế một khoá bằng cách thêm một hoặc nhiều quy định hạn chế ứng dụng thuộc loại bạn muốn uỷ quyền. Sau đó, chỉ những yêu cầu bắt nguồn từ các nguồn này mới được phép.

  • Hạn chế về API Bạn có thể hạn chế những API, SDK hoặc dịch vụ của Google Maps Platform mà bạn có thể sử dụng khoá API. Các quy tắc hạn chế API chỉ cho phép các yêu cầu đối với các API và SDK mà bạn chỉ định. Đối với bất kỳ khoá API nào, bạn có thể chỉ định bao nhiêu quy tắc hạn chế API tuỳ ý. Danh sách API có sẵn bao gồm tất cả API được bật trên một dự án.

Đặt quy định hạn chế đối với ứng dụng cho khoá API

  1. Mở trang Thông tin xác thực của Nền tảng Google Maps trong Google Cloud Console.

  2. Chọn khoá API mà bạn muốn hạn chế.

  3. Trên trang Chỉnh sửa khoá API, trong mục Key restrictions (Hạn chế đối với khoá), hãy chọn Set an application restriction (Đặt hạn chế cho ứng dụng).

    Trang Chỉnh sửa khoá API

  4. Chọn một trong các loại hạn chế và cung cấp thông tin được yêu cầu theo danh sách hạn chế.

    Loại hạn chế Mô tả
    Trang web Chỉ định một hoặc nhiều trang web giới thiệu.
    • Các lược đồ URI của trình giới thiệu được hỗ trợ phổ biến là httpshttp.
    • Luôn cung cấp URI liên kết giới thiệu đầy đủ, bao gồm cả giao thức, tên máy chủ và cổng không bắt buộc (ví dụ: https://google.com).
    • Bạn có thể sử dụng ký tự đại diện để uỷ quyền cho tất cả miền con. Ví dụ: https://*.google.com chấp nhận tất cả các trang web có đuôi là .google.com. Xin lưu ý rằng nếu bạn chỉ định www.domain.com, thì miền này sẽ hoạt động như một ký tự đại diện www.domain.com/* và uỷ quyền cho mọi đường dẫn con trên tên máy chủ đó.
    • Hãy cẩn thận khi uỷ quyền cho trình giới thiệu đường dẫn đầy đủ, ví dụ: https://google.com/some/path, vì theo mặc định, hầu hết các trình duyệt hiện tại sẽ xoá đường dẫn khỏi các yêu cầu trên nhiều nguồn gốc.
    địa chỉ IP Chỉ định một hoặc nhiều địa chỉ IPv4 hoặc IPv6 hoặc mạng con bằng ký hiệu CIDR. Địa chỉ IP phải khớp với địa chỉ nguồn mà máy chủ Nền tảng Google Maps quan sát được. Nếu bạn sử dụng chuyển đổi địa chỉ mạng (NAT), địa chỉ này thường tương ứng với địa chỉ IP công khai của máy.
    Ứng dụng Android Thêm tên gói Android (từ tệp AndroidManifest.xml) và vân tay số của chứng chỉ ký SHA-1 của từng ứng dụng Android mà bạn muốn uỷ quyền. Nếu bạn sử dụng Tính năng ký ứng dụng của Play, để tìm nạp dấu vân tay chứng chỉ ký, hãy xem phần Hoạt động với nhà cung cấp API. Nếu bạn quản lý khoá ký của riêng mình, hãy xem phần Tự ký ứng dụng hoặc tham khảo hướng dẫn cho môi trường xây dựng của bạn.
    Ứng dụng iOS Thêm mã nhận dạng gói của từng ứng dụng iOS mà bạn muốn uỷ quyền.

    Để biết các đề xuất về hạn chế ứng dụng, hãy xem phần Hạn chế ứng dụng được đề xuất.

  5. Chọn Lưu.

Đặt hạn chế API cho khoá API

  1. Mở trang Thông tin xác thực của Nền tảng Google Maps trong Google Cloud Console.

  2. Chọn khoá API mà bạn muốn hạn chế.

  3. Trên trang Chỉnh sửa khoá API, trong mục Hạn chế đối với API:

    • Chọn Restrict key (Hạn chế khoá).

    • Mở Chọn API rồi chọn các API hoặc SDK mà bạn muốn ứng dụng truy cập bằng khoá API.

      Nếu một API hoặc SDK không có trong danh sách, bạn cần bật API hoặc SDK đó. Để biết thông tin chi tiết, hãy xem phần Cách bật một hoặc nhiều API hoặc SDK.

    Hạn chế một API trên trang Chỉnh sửa khoá API

  4. Chọn Lưu.

    Quy tắc hạn chế này sẽ trở thành một phần trong định nghĩa khoá API sau bước này. Hãy nhớ cung cấp thông tin chi tiết phù hợp rồi chọn Lưu để lưu các quy tắc hạn chế đối với khoá API. Để biết thêm thông tin, hãy xem hướng dẫn Lấy khoá API trong tài liệu về API hoặc SDK cụ thể mà bạn quan tâm.

Để biết các quy tắc hạn chế API được đề xuất, hãy xem phần Các quy tắc hạn chế API được đề xuất.

Kiểm tra mức sử dụng khoá API

Nếu bạn đang hạn chế khoá API sau khi tạo hoặc nếu bạn muốn xem khoá đang sử dụng API nào để có thể hạn chế các khoá đó, thì bạn nên kiểm tra mức sử dụng khoá API. Các bước này cho bạn biết khoá API đang được sử dụng trong những dịch vụ và phương thức API nào. Nếu bạn thấy bất kỳ hoạt động sử dụng nào ngoài các dịch vụ của Nền tảng Google Maps, hãy điều tra để xác định xem bạn có cần thêm các quy định hạn chế khác để tránh việc sử dụng không mong muốn hay không. Bạn có thể sử dụng Trình khám phá chỉ số Cloud Console của Google Maps Platform để xác định những API và hạn chế về ứng dụng sẽ áp dụng cho khoá API của bạn:

Xác định các API sử dụng khoá API của bạn

Các báo cáo chỉ số sau đây cho phép bạn xác định những API đang sử dụng khoá API của bạn. Bạn có thể sử dụng các báo cáo này để làm những việc sau:

  • Xem cách khoá API của bạn được sử dụng
  • Phát hiện mức sử dụng ngoài dự kiến
  • Giúp xác minh xem có thể xoá một khoá không dùng đến một cách an toàn hay không. Để biết thông tin về cách xoá khoá API, hãy xem phần Xoá khoá API không dùng đến.

Khi áp dụng các quy tắc hạn chế đối với API, hãy sử dụng các báo cáo này để tạo danh sách API cần uỷ quyền hoặc để xác thực các đề xuất hạn chế đối với khoá API được tạo tự động. Để biết thêm thông tin về các quy định hạn chế được đề xuất, hãy xem phần Áp dụng các quy định hạn chế được đề xuất. Để biết thêm thông tin về cách sử dụng Trình khám phá chỉ số, hãy xem bài viết Tạo biểu đồ bằng Trình khám phá chỉ số.

  1. Chuyển đến Trình khám phá chỉ số của Google Cloud Console.

  2. Đăng nhập rồi chọn dự án cho các khoá API mà bạn muốn kiểm tra.

  3. Chuyển đến trang Trình khám phá chỉ số cho loại API của bạn:

  4. Kiểm tra từng khoá API:

    1. Chọn THÊM BỘ LỌC.

    2. Chọn nhãn credential_id.

    3. Chọn value (giá trị) tương ứng với khoá bạn muốn kiểm tra.

    4. Lưu ý API nào đang sử dụng khoá API này và xác nhận việc sử dụng là dự kiến.

    5. Sau khi hoàn tất, hãy chọn biểu tượng Xoá bộ lọc ở cuối dòng bộ lọc đang hoạt động để xoá bộ lọc bổ sung.

  5. Lặp lại cho mọi khoá còn lại.

  6. Chỉ cho phép khoá API của bạn sử dụng các API đang được dùng.

  7. Nếu bạn phát hiện thấy hành vi sử dụng trái phép, hãy xem phần Xử lý hành vi sử dụng trái phép khoá API.

Chọn đúng loại hạn chế ứng dụng bằng Trình khám phá chỉ số

Sau khi bạn xác minh và thực hiện mọi hành động cần thiết để đảm bảo khoá API chỉ được dùng cho các dịch vụ trên Nền tảng Google Maps mà khoá đó đang sử dụng, hãy đảm bảo khoá API có các hạn chế ứng dụng chính xác.

Nếu khoá API của bạn có các quy tắc hạn chế được đề xuất đối với khoá API, hãy áp dụng các quy tắc đó. Để biết thêm thông tin, hãy xem bài viết Áp dụng các quy tắc hạn chế được đề xuất đối với khoá API.

Nếu khoá API của bạn không có đề xuất hạn chế, hãy xác định loại hạn chế ứng dụng cần áp dụng, dựa trên platform_type được báo cáo bằng Trình khám phá chỉ số:

  1. Chuyển đến Trình khám phá chỉ số của Google Cloud Console.

  2. Đăng nhập và chọn dự án cho các API mà bạn muốn kiểm tra.

  3. Chuyển đến trang Trình khám phá chỉ số này: Trình khám phá chỉ số.

  4. Kiểm tra từng khoá API:

    1. Chọn THÊM BỘ LỌC.

    2. Chọn nhãn credential_id.

    3. Chọn value (giá trị) tương ứng với khoá bạn muốn kiểm tra.

    4. Sau khi hoàn tất, hãy chọn biểu tượng Xoá bộ lọc ở cuối dòng bộ lọc đang hoạt động để xoá bộ lọc bổ sung.

  5. Lặp lại cho mọi khoá còn lại.

  6. Sau khi bạn có loại nền tảng cho khoá API, hãy áp dụng quy tắc hạn chế ứng dụng cho platform_type đó:

    PLATFORM_TYPE_JS
    Áp dụng các quy định hạn chế về trang web cho khoá.
    PLATFORM_TYPE_ANDROID
    Áp dụng các quy định hạn chế đối với ứng dụng Android trên khoá.
    PLATFORM_TYPE_IOS
    Áp dụng các quy định hạn chế đối với ứng dụng iOS trên khoá.
    PLATFORM_TYPE_WEBSERVICE
    Bạn có thể phải dựa vào các quy định hạn chế về địa chỉ IP trên khoá để hạn chế khoá đó một cách thích hợp. Để biết thêm các tuỳ chọn khác cho API Tĩnh của Maps và API Tĩnh của Chế độ xem đường phố, hãy xem bài viết Bảo vệ ứng dụng bằng API Web tĩnh. Để biết thêm hướng dẫn về Maps Embed API, hãy xem phần Trang web có Maps Embed API.
    Khoá API của tôi đang sử dụng nhiều loại nền tảng
    Bạn không thể bảo mật lưu lượng truy cập của mình một cách thích hợp chỉ bằng một khoá API. Bạn cần chuyển sang nhiều khoá API. Để biết thêm thông tin, hãy xem phần Di chuyển sang nhiều khoá API.

Sử dụng các khoá API riêng biệt cho từng ứng dụng

Phương pháp này giới hạn phạm vi của mỗi khoá. Nếu một khoá API bị xâm phạm, bạn có thể xoá hoặc tạo lại khoá bị ảnh hưởng mà không cần cập nhật các khoá API khác. Bạn có thể tạo tối đa 300 khoá API cho mỗi dự án. Để biết thêm thông tin, hãy xem phần Giới hạn về khoá API.

Mặc dù một khoá API cho mỗi ứng dụng là lý tưởng cho mục đích bảo mật, nhưng bạn có thể sử dụng các khoá bị hạn chế trên nhiều ứng dụng, miễn là các ứng dụng đó sử dụng cùng một loại hạn chế ứng dụng.

Áp dụng các quy tắc hạn chế được đề xuất đối với khoá API

Đối với một số chủ sở hữu và người chỉnh sửa dự án, Google Cloud Console đề xuất các hạn chế cụ thể đối với khoá API đối với các khoá API không bị hạn chế dựa trên hoạt động và mức sử dụng Google Maps Platform của họ.

Nếu có, các đề xuất sẽ xuất hiện dưới dạng các tuỳ chọn được điền sẵn trên trang Thông tin xác thực của Nền tảng Google Maps.

Lý do bạn có thể không thấy đề xuất hoặc đề xuất chưa hoàn chỉnh

  • Bạn (cũng) đang sử dụng khoá API trên các dịch vụ khác ngoài Nền tảng Google Maps. Nếu bạn thấy mức sử dụng trên các dịch vụ khác, đừng áp dụng đề xuất mà trước tiên hãy làm như sau:

    1. Xác minh rằng mức sử dụng API mà bạn thấy trong trình khám phá chỉ số của Google Cloud Console là hợp lệ.

    2. Thêm các dịch vụ bị thiếu vào danh sách API cần được uỷ quyền theo cách thủ công.

    3. Thêm theo cách thủ công mọi hạn chế ứng dụng bị thiếu cho các dịch vụ được thêm vào danh sách API. Nếu bạn thêm các quy tắc hạn chế khác đối với ứng dụng, thì hãy xem phần Di chuyển sang nhiều khoá API.

  • Khoá API của bạn không được dùng trong các SDK hoặc API phía máy khách.

  • Bạn sử dụng khoá API trong một ứng dụng hoặc trang web có số lượng người dùng thấp và không có hoạt động sử dụng trong 60 ngày qua.

  • Bạn mới tạo một khoá mới hoặc mới triển khai một khoá hiện có trong một ứng dụng mới. Nếu vậy, bạn chỉ cần đợi thêm vài ngày để các đề xuất cập nhật.

  • Bạn đang sử dụng khoá API trong nhiều ứng dụng yêu cầu các loại hạn chế ứng dụng xung đột với nhau, hoặc bạn đang sử dụng cùng một khoá API trong quá nhiều ứng dụng hoặc trang web. Trong cả hai trường hợp, tốt nhất bạn nên di chuyển sang nhiều khoá. Để biết thêm thông tin chi tiết, hãy xem phần Di chuyển sang nhiều khoá API.

Lý do khiến bạn có thể thấy các đề xuất không xuất hiện trong biểu đồ

  • Ứng dụng hoặc trang web của bạn chỉ gửi các luồng lưu lượng truy cập rất ngắn. Trong trường hợp này, hãy chuyển từ chế độ xem BẢNG TÍN LIỆU sang hiển thị BẢNG hoặc CẢ HAI, vì mức sử dụng vẫn hiển thị trong chú giải. Để biết thêm thông tin, hãy xem phần Bật/tắt chú giải đầy đủ của biểu đồ.

  • Lưu lượng truy cập của bạn đến từ Maps Embed API. Để biết hướng dẫn, hãy xem phần Xác định các API sử dụng khoá API của bạn.

  • Lưu lượng truy cập từ ứng dụng hoặc trang web nằm ngoài phạm vi ngày có trong trình khám phá Chỉ số của Google Cloud Console.

  1. Mở trang Thông tin xác thực của Nền tảng Google Maps trong Google Cloud Console.

  2. Chọn Áp dụng các quy định hạn chế được đề xuất (nếu có).

    Áp dụng các quy định hạn chế được đề xuất

    Lưu ý: Nếu bạn không thấy quy tắc hạn chế nào được đề xuất, hãy xem phần Đặt quy tắc hạn chế API cho khoá API để đặt các quy tắc hạn chế phù hợp.

  3. Chọn Kiểm tra mức sử dụng API để xác minh khoá API đang được sử dụng trên những dịch vụ nào. Nếu bạn thấy các dịch vụ không phải của Nền tảng Google Maps, hãy tạm dừng để xem xét các bước đề xuất ở trên theo cách thủ công. Xem các bước khắc phục sự cố ở đầu phần Áp dụng các hạn chế đề xuất đối với khoá API.

  4. Kiểm tra kỹ để đảm bảo rằng các quy tắc hạn chế được điền sẵn khớp với các trang web và ứng dụng mà bạn dự kiến sẽ sử dụng khoá API.

    Phương pháp hay nhất: Ghi lại và xoá mọi hạn chế về ứng dụng hoặc API không liên kết với dịch vụ của bạn. Nếu có vấn đề xảy ra do một phần phụ thuộc không mong muốn, bạn có thể thêm lại các ứng dụng hoặc API bắt buộc.

    • Nếu bạn nhận thấy một ứng dụng, trang web hoặc API rõ ràng bị thiếu trong đề xuất, hãy thêm ứng dụng, trang web hoặc API đó theo cách thủ công hoặc đợi vài ngày để đề xuất cập nhật.

    • Nếu bạn cần được trợ giúp thêm về đề xuất được đưa ra, hãy liên hệ với nhóm hỗ trợ.

  5. Chọn Áp dụng.

Những việc cần làm nếu đơn đăng ký của bạn bị từ chối sau khi áp dụng đề xuất

Nếu bạn nhận thấy một ứng dụng hoặc trang web bị từ chối sau khi áp dụng một quy định hạn chế, hãy tìm quy định hạn chế ứng dụng mà bạn cần thêm vào thông báo lỗi phản hồi API.

Đối với SDK phía máy khách, hãy xem bên dưới:

Để kiểm tra các quy tắc hạn chế bắt buộc đối với API, hãy xem phần Xác định các API sử dụng khoá API của bạn.

Nếu bạn không thể xác định những quy định hạn chế nào cần áp dụng:

  1. Ghi lại các quy định hạn chế hiện tại để tham khảo sau này.
  2. Tạm xoá các video đó trong khi bạn điều tra vấn đề. Bạn có thể kiểm tra mức sử dụng theo thời gian bằng cách làm theo các bước trong bài viết Kiểm tra mức sử dụng khoá API.
  3. Nếu cần, hãy liên hệ với nhóm hỗ trợ.

Xoá khoá API không dùng đến

Trước khi xoá khoá API, hãy đảm bảo rằng khoá đó không được dùng trong môi trường thực tế. Nếu không có lưu lượng truy cập thành công, thì bạn có thể xoá khoá một cách an toàn. Để biết thêm thông tin, hãy xem bài viết Kiểm tra mức sử dụng khoá API.

Cách xoá khoá API:

  1. Mở trang Thông tin xác thực của Nền tảng Google Maps trong Google Cloud Console.

  2. Chọn khoá API mà bạn muốn xoá.

  3. Chọn nút Xoá ở gần đầu trang.

  4. Trên trang Xoá thông tin xác thực, hãy chọn Xoá.

    Quá trình xoá khoá API sẽ mất vài phút để áp dụng. Sau khi quá trình truyền tải hoàn tất, mọi lưu lượng truy cập sử dụng khoá API đã xoá sẽ bị từ chối.

Hãy cẩn thận khi tạo lại khoá API

Việc tạo lại khoá API sẽ tạo một khoá mới có tất cả các quy tắc hạn chế của khoá cũ. Quá trình này cũng bắt đầu một bộ hẹn giờ 24 giờ, sau đó khoá API cũ sẽ bị xoá.

Trong khoảng thời gian này, cả khoá cũ và khoá mới đều được chấp nhận, cho phép bạn di chuyển ứng dụng để sử dụng khoá mới. Tuy nhiên, sau khoảng thời gian này, mọi ứng dụng vẫn sử dụng khoá API cũ sẽ ngừng hoạt động.

Trước khi tạo lại khoá API:

  • Trước tiên, hãy thử hạn chế khoá API như mô tả trong phần Hạn chế khoá API.

  • Nếu không thể hạn chế khoá API do các loại hạn chế ứng dụng xung đột, hãy di chuyển sang nhiều khoá mới (bị hạn chế) như mô tả trong phần Di chuyển sang nhiều khoá API. Việc di chuyển cho phép bạn kiểm soát tiến trình di chuyển và triển khai các khoá API mới.

Nếu không thể làm theo các đề xuất trước đó và bạn phải tạo lại khoá API để ngăn chặn việc sử dụng trái phép, hãy làm theo các bước sau:

  1. Mở trang Thông tin xác thực của Nền tảng Google Maps trong Google Cloud Console.

  2. Mở khoá API mà bạn muốn tạo lại.

  3. Ở đầu trang, hãy chọn Tạo lại khoá.

  4. Chọn Thay thế khoá.

Lưu ý: Nếu cần, bạn có thể khôi phục mọi khoá đã được tạo lại về phiên bản trước đó. Không có giới hạn thời gian để khôi phục.

Cách khôi phục khoá đã tạo lại

  1. Mở trang Thông tin xác thực của Nền tảng Google Maps trong Google Cloud Console.

  2. Mở khoá API mà bạn muốn khôi phục.

  3. Chọn Huỷ bỏ khoá trước đó.

  4. Trong hộp thoại Huỷ bỏ, hãy chọn Huỷ bỏ khoá.

Sau khi khôi phục, phiên bản "mới" trước đó của khoá sẽ trở thành phiên bản trước đó và một bộ hẹn giờ mới để huỷ kích hoạt sẽ được đặt cho phiên bản đó. Bạn có thể chuyển đổi giữa hai giá trị khoá này cho đến khi tạo lại khoá.

Nếu bạn tạo lại khoá, khoá mới sẽ ghi đè giá trị khoá cũ không hoạt động.

Di chuyển sang nhiều khoá API

Để di chuyển từ việc sử dụng một khoá API cho nhiều ứng dụng sang một khoá API duy nhất cho mỗi ứng dụng, hãy làm như sau:

  1. Xác định những ứng dụng cần khoá mới:

    • Ứng dụng web là loại ứng dụng dễ cập nhật nhất vì bạn kiểm soát tất cả mã. Lên kế hoạch cập nhật tất cả khoá của ứng dụng dựa trên web.
    • Ứng dụng di động khó hơn nhiều vì khách hàng phải cập nhật ứng dụng của họ trước khi có thể sử dụng khoá mới.
  2. Tạo và hạn chế các khoá mới: Thêm cả quy tắc hạn chế ứng dụng và ít nhất một quy tắc hạn chế API. Để biết thêm thông tin, hãy xem phần Các phương pháp hay nhất được đề xuất.

  3. Thêm khoá mới vào ứng dụng: Đối với ứng dụng di động, quá trình này có thể mất nhiều tháng cho đến khi tất cả người dùng cập nhật lên ứng dụng mới nhất bằng khoá API mới.

Bảo vệ ứng dụng bằng API web tĩnh

API web tĩnh, chẳng hạn như API tĩnh của Maps và API tĩnh của Chế độ xem đường phố, tương tự như các lệnh gọi API dịch vụ web.

Bạn gọi cả hai bằng một API REST HTTPS đơn giản và thường tạo URL yêu cầu API trên máy chủ. Tuy nhiên, thay vì trả về phản hồi JSON, API web tĩnh sẽ tạo một hình ảnh mà bạn có thể nhúng vào mã HTML đã tạo. Quan trọng hơn, thường thì ứng dụng của người dùng cuối, chứ không phải máy chủ, sẽ gọi dịch vụ Nền tảng Google Maps.

Sử dụng chữ ký số

Tốt nhất là bạn nên luôn sử dụng chữ ký số ngoài khoá API. Ngoài ra, hãy xem xét số lượng yêu cầu chưa ký mà bạn muốn cho phép mỗi ngày và điều chỉnh hạn mức yêu cầu chưa ký cho phù hợp.

Để biết thêm thông tin chi tiết về chữ ký số, hãy xem Hướng dẫn về chữ ký số.

Bảo vệ khoá ký của bạn

Để bảo vệ API web tĩnh, đừng nhúng các khoá ký API trực tiếp vào mã hoặc trong cây nguồn, cũng như đừng hiển thị các khoá này trong các ứng dụng phía máy khách. Hãy làm theo các phương pháp hay nhất sau đây để bảo vệ bí mật ký của bạn:

  • Ký yêu cầu ở phía máy chủ, chứ không phải trên máy khách. Nếu thực hiện việc ký ở phía máy khách trong JavaScript, bạn sẽ hiển thị thông tin đó cho bất kỳ ai truy cập vào trang web của bạn. Do đó, đối với hình ảnh được tạo động, hãy luôn tạo URL yêu cầu API Tĩnh của Maps và API Tĩnh của Chế độ xem đường phố đã ký phía máy chủ khi phân phát trang web. Đối với nội dung web tĩnh, bạn có thể sử dụng tiện ích Sign a URL now (Ký URL ngay) trên trang Credentials (Thông tin xác thực) của Nền tảng Maps trên Google Cloud Console.

  • Lưu trữ bí mật ký bên ngoài mã nguồn và cây nguồn của ứng dụng. Nếu bạn đặt khoá ký hoặc bất kỳ thông tin cá nhân nào khác vào các biến môi trường hoặc đưa vào các tệp được lưu trữ riêng biệt, sau đó chia sẻ mã của mình, thì khoá ký sẽ không có trong các tệp được chia sẻ. Nếu bạn lưu trữ bí mật ký hoặc bất kỳ thông tin riêng tư nào khác trong các tệp, hãy giữ các tệp đó bên ngoài cây nguồn của ứng dụng để giữ bí mật ký của bạn ra khỏi hệ thống kiểm soát mã nguồn. Việc phòng ngừa này đặc biệt quan trọng nếu bạn sử dụng một hệ thống quản lý mã nguồn công khai, chẳng hạn như GitHub.

Bảo vệ khoá API trong ứng dụng bằng cách sử dụng dịch vụ web

Lưu trữ khoá API bên ngoài mã nguồn hoặc cây nguồn của ứng dụng. Nếu bạn đặt khoá API hoặc bất kỳ thông tin nào khác vào các biến môi trường hoặc đưa các tệp được lưu trữ riêng biệt vào rồi chia sẻ mã của mình, thì khoá API sẽ không có trong các tệp được chia sẻ. Điều này đặc biệt quan trọng nếu bạn sử dụng một hệ thống quản lý mã nguồn công khai, chẳng hạn như GitHub.

Bảo vệ khoá API và khoá ký bí mật trong ứng dụng di động bằng cách sử dụng dịch vụ web hoặc API web tĩnh

Để bảo vệ ứng dụng di động, hãy sử dụng kho khoá bảo mật hoặc máy chủ proxy bảo mật:

  • Lưu trữ khoá API hoặc khoá ký trong kho khoá bảo mật. Bước này khiến việc thu thập khoá API và dữ liệu riêng tư khác ngay từ ứng dụng trở nên khó khăn hơn.

  • Sử dụng máy chủ proxy bảo mật. Máy chủ proxy cung cấp một nguồn đáng tin cậy để tương tác với API Nền tảng Google Maps thích hợp. Để biết thêm thông tin về cách sử dụng máy chủ proxy, hãy xem bài viết Trải nghiệm thay thế: Sử dụng máy chủ proxy với Thư viện ứng dụng API Dữ liệu của Google.

    • Tạo các yêu cầu của bạn trên Nền tảng Google Maps trên máy chủ proxy. Không cho phép ứng dụng chuyển tiếp các lệnh gọi API tuỳ ý qua proxy.

    • Xử lý sau các phản hồi của Nền tảng Google Maps trên máy chủ proxy. Lọc ra dữ liệu mà ứng dụng không cần.

Sử dụng tính năng Kiểm tra ứng dụng để bảo mật khoá API

Một số SDK và API của Maps cho phép bạn tích hợp với tính năng Kiểm tra ứng dụng Firebase. Tính năng Kiểm tra ứng dụng bảo vệ các lệnh gọi từ ứng dụng của bạn đến Nền tảng Google Maps bằng cách chặn lưu lượng truy cập đến từ các nguồn không phải là ứng dụng hợp pháp. Bằng cách kiểm tra mã thông báo từ nhà cung cấp chứng thực. Việc tích hợp ứng dụng với tính năng Kiểm tra ứng dụng giúp bảo vệ khỏi các yêu cầu độc hại, nhờ đó, bạn sẽ không bị tính phí cho các lệnh gọi API trái phép.

Hướng dẫn tích hợp tính năng Kiểm tra ứng dụng:

Xử lý việc sử dụng trái phép khoá API

Nếu bạn phát hiện thấy việc sử dụng khoá API của mình là trái phép, hãy làm như sau để giải quyết vấn đề:

  1. Hạn chế khoá: Nếu bạn đã sử dụng cùng một khoá trong nhiều ứng dụng, hãy di chuyển sang nhiều khoá API và sử dụng các khoá API riêng biệt cho từng ứng dụng. Để biết thêm thông tin chi tiết, hãy xem:

  2. Chỉ tạo lại khoá nếu bạn không thể hạn chế khoá. Hãy đọc kỹ phần Thận trọng khi tạo lại khoá API trước khi tiếp tục.

  3. Nếu bạn vẫn gặp vấn đề hoặc cần trợ giúp, hãy liên hệ với nhóm hỗ trợ.

Các hạn chế được đề xuất đối với ứng dụng và API

Các phần sau đây đề xuất các hạn chế thích hợp về ứng dụng và API cho từng API, SDK hoặc dịch vụ của Google Maps Platform.

Các quy tắc hạn chế API được đề xuất

Các nguyên tắc sau đây về các quy định hạn chế đối với API áp dụng cho toàn bộ Nền tảng Google Maps:

  • Hạn chế khoá API của bạn chỉ cho các API mà bạn đang sử dụng, ngoại trừ các trường hợp ngoại lệ sau:

    • Nếu ứng dụng của bạn sử dụng SDK Địa điểm dành cho Android hoặc SDK Địa điểm dành cho iOS, hãy uỷ quyền cho API Địa điểm.

    • Nếu ứng dụng của bạn sử dụng API JavaScript của Maps, hãy luôn uỷ quyền cho ứng dụng đó trên khoá của bạn.

    • Nếu cũng sử dụng bất kỳ dịch vụ API JavaScript của Maps nào sau đây, bạn cũng nên cho phép các API sau:

    Dịch vụ Hạn chế API
    Dịch vụ chỉ đường, API Maps JavaScript Directions API
    Dịch vụ ma trận khoảng cách, API Maps JavaScript Distance Matrix API
    Dịch vụ dữ liệu độ cao, API Maps JavaScript Elevation API
    Dịch vụ mã hóa địa lý, API Maps JavaScript Geocoding API
    Thư viện địa điểm, API JavaScript cho Maps Places API

Một số ví dụ:

  • Bạn đang sử dụng SDK Bản đồ dành cho Android và SDK Địa điểm dành cho Android, vì vậy, bạn sẽ thêm SDK Bản đồ dành cho Android và API Địa điểm làm các hạn chế API.

  • Trang web của bạn sử dụng Dịch vụ độ cao API Maps JavaScript và API Maps Static, vì vậy, bạn thêm các quy tắc hạn chế API cho tất cả các API sau:

    • API JavaScript cho Maps
    • Elevation API
    • API tĩnh cho Maps

Hạn chế ứng dụng được đề xuất

Trang web có Maps JavaScript API hoặc Static Web API

Đối với các trang web sử dụng dịch vụ JavaScript của Maps hoặc API web tĩnh, hãy sử dụng hạn chế ứng dụng Websites.

Sử dụng cho các trang web sử dụng các dịch vụ và API JavaScript sau:

1 Đối với ứng dụng di động, hãy cân nhắc sử dụng SDK Bản đồ dành cho AndroidSDK Bản đồ dành cho iOS gốc.

2 Xem thêm bài viết Bảo vệ ứng dụng di động bằng dịch vụ web hoặc API web tĩnh.

Các trang web có Maps Embed API

Mặc dù việc sử dụng API nhúng Maps là miễn phí, nhưng bạn vẫn nên hạn chế mọi khoá API đã sử dụng để ngăn chặn hành vi sử dụng sai mục đích trên các dịch vụ khác.

Phương pháp hay nhất: Tạo một khoá API riêng để sử dụng Maps Embed API và chỉ cho phép khoá này duy nhất sử dụng Maps Embed API. Quy định hạn chế này bảo vệ đủ cẩn thận cho khoá, ngăn chặn việc sử dụng trái phép khoá trên bất kỳ dịch vụ nào khác của Google.

Nếu bạn không thể tách riêng hoạt động sử dụng API Nhúng Maps thành một khoá API riêng biệt, hãy bảo mật khoá của bạn bằng cách sử dụng quy tắc hạn chế ứng dụng Websites.

Ứng dụng và máy chủ sử dụng dịch vụ web

Đối với các ứng dụng và máy chủ sử dụng dịch vụ web, hãy sử dụng quy tắc hạn chế ứng dụng IP addresses.

Sử dụng cho các ứng dụng và máy chủ bằng các API sau:

3 Đối với ứng dụng di động, hãy cân nhắc sử dụng SDK Địa điểm dành cho AndroidSDK Địa điểm dành cho iOS gốc.

Ứng dụng Android

Đối với các ứng dụng trên Android, hãy sử dụng quy định hạn chế ứng dụng Android apps. Sử dụng cho các ứng dụng và máy chủ sử dụng các SDK sau:

Ngoài ra, hãy ngăn việc vô tình kiểm tra khoá API vào tính năng quản lý phiên bản bằng cách sử dụng Trình bổ trợ Gradle cho thông tin bí mật để chèn thông tin bí mật từ một tệp cục bộ thay vì lưu trữ thông tin đó trong Tệp kê khai Android.

Ứng dụng iOS

Đối với ứng dụng trên iOS, hãy sử dụng quy định hạn chế ứng dụng iOS apps. Sử dụng cho các ứng dụng và máy chủ sử dụng các SDK sau: