Best practice per la sicurezza delle API

Per le app e i progetti che utilizzano le API e gli SDK di Google Maps Platform, devi utilizzare le chiavi API o, se supportate, OAuth, per evitare l'uso non autorizzato e gli addebiti. Se utilizzi chiavi API, per la massima sicurezza, limita le chiavi API quando le crei. Queste best practice mostrano come limitarle.

Oltre ad applicare restrizioni relative alle chiavi API e delle applicazioni, segui eventuali prassi di sicurezza applicabili a prodotti specifici di Google Maps Platform. Ad esempio, consulta l'API Maps JavaScript di seguito in Restrizioni di API e applicazioni consigliate.

Se le chiavi API sono già in uso, consulta i suggerimenti riportati di seguito in Se stai limitando o rigenerando una chiave API in uso.

Per ulteriori informazioni sulle firme digitali, consulta la Guida alla firma digitale.

Best practice consigliate

Per maggiore sicurezza ed evitare addebiti per l'uso non autorizzato, segui queste best practice di sicurezza delle API per tutti i servizi, gli SDK o le API di Google Maps Platform:

Consigliato per tutti gli utilizzi delle chiavi API

Limitare le chiavi API

Utilizzare chiavi API separate per ogni app

Eliminare le chiavi API inutilizzate

Controllare l'utilizzo della chiave API

Fai attenzione quando rigenera le chiavi API

Suggerimenti aggiuntivi per i siti web che utilizzano API web statiche

Proteggere le app utilizzando API Static Web

Consigli aggiuntivi per le app che usano servizi web

Proteggere le app utilizzando i servizi web

Consigli aggiuntivi per le app mobile per iOS e Android

Proteggere le app mobile utilizzando i servizi web o le API Static Web

Se stai limitando o rigenerando una chiave API in uso

• Prima di modificare la chiave API, controlla l'utilizzo della chiave API Questo passaggio è particolarmente importante se aggiungi limitazioni dopo che la chiave è in uso.

• Dopo aver cambiato la chiave, aggiorna tutte le app con le nuove chiavi API, in base alle esigenze.

• Se non si verifica alcun abuso attivo della tua chiave API, puoi eseguire la migrazione delle tue app a più nuove chiavi API secondo i tuoi tempi, lasciando invariata la chiave API originale finché non vedi un solo tipo di traffico, al quale puoi limitare le chiavi API con una restrizione delle applicazioni. Per ulteriori istruzioni, consulta Eseguire la migrazione a più chiavi API.

  Monitora l'utilizzo nel tempo e scopri quando è stata eseguita la migrazione di API, tipi di piattaforma e domini specifici dalla vecchia chiave API prima di scegliere di limitare o eliminare la vecchia chiave. Per ulteriori informazioni, consulta Report e monitoraggio e Metriche.

• Se la tua chiave API è stata compromessa, vuoi procedere più rapidamente per proteggerla e arrestare l'abuso. Nelle app per Android e iOS, le chiavi non vengono sostituite finché i clienti non aggiornano le loro app. L'aggiornamento o la sostituzione di chiavi in JavaScript o nelle app di servizi web è molto più semplice, ma può comunque richiedere un'attenta pianificazione e un lavoro rapido.

  Per maggiori informazioni, consulta la pagina Gestire l'uso non autorizzato di una chiave API.

Limita le chiavi API

Una best practice consiste nel limitare sempre le chiavi API con una restrizione delle applicazioni e una o più restrizioni delle API. Per le restrizioni suggerite per API, SDK o servizio JavaScript, consulta la sezione Restrizioni consigliate per API e applicazioni di seguito.

• Limitazione delle applicazioni Puoi limitare l'utilizzo di una chiave API a piattaforme specifiche: applicazioni Android o iOS o siti web specifici per le applicazioni lato client oppure indirizzi IP o subnet CIDR specifici per app lato server che effettuano chiamate API REST dei servizi web.

  Puoi limitare una chiave aggiungendo una o più limitazioni delle applicazioni dei tipi che vuoi autorizzare, dopodiché sono consentite solo le richieste provenienti da queste origini.

• Limitazioni delle API Puoi limitare le API, gli SDK o i servizi Google Maps Platform su cui è possibile utilizzare la tua chiave API. Le restrizioni delle API consentono solo le richieste alle API e agli SDK specificati. Per ogni chiave API specifica, puoi specificare tutte le restrizioni API necessarie. L'elenco delle API disponibili include tutte le API abilitate in un progetto.

Imposta una restrizione delle applicazioni per una chiave API

1. Apri la pagina Credenziali di Google Maps Platform della console Google Cloud.

2. Seleziona la chiave API che vuoi limitare.

3. Nella pagina Modifica chiave API, in Limitazioni delle chiavi, seleziona Imposta una restrizione delle applicazioni.

   

4. Seleziona uno dei tipi di limitazione e fornisci le informazioni richieste in base all'elenco delle restrizioni.

   Tipo di restrizione	Descrizione
   Siti web	Specifica uno o più siti web referrer. Gli schemi dell'URI del referrer supportato sono https e http. Fornisci sempre l'URI del referrer completo, inclusi lo schema di protocollo, il nome host e la porta facoltativa (ad es. https://google.com). Puoi utilizzare caratteri jolly per autorizzare tutti i sottodomini. Ad esempio, https://*.google.com accetta tutti i siti che terminano con .google.com. Tieni presente che se specifichi www.dominio.com, questo funge da carattere jolly www.dominio.com/* e autorizza qualsiasi percorso secondario di tale nome host. Fai attenzione quando autorizzi i referrer del percorso completo, ad esempio https://google.com/some/path, poiché, per impostazione predefinita, la maggior parte dei browser attuali elimina il percorso dalle richieste multiorigine.
   Indirizzi IP	Specifica uno o più indirizzi IPv4 o IPv6 oppure subnet utilizzando la notazione CIDR. Gli indirizzi IP devono corrispondere all'indirizzo di origine osservato dai server Google Maps Platform. Se usi il protocollo NAT (Network Address Translation), questo indirizzo corrisponde in genere all'indirizzo IP pubblico della tua macchina.
   App Android	Aggiungi il nome del pacchetto Android (dal file AndroidManifest.xml) e l'impronta digitale del certificato di firma SHA-1 di ogni applicazione Android che vuoi autorizzare. Se utilizzi la firma dell'app di Google Play, consulta la pagina relativa all'utilizzo dei provider di API per recuperare l'impronta del certificato di firma. Se gestisci autonomamente la chiave di firma, consulta la pagina relativa alla firma dell'applicazione o fai riferimento alle istruzioni per l'ambiente di build.
   App per iOS	Aggiungi l'identificatore bundle di ogni applicazione iOS che vuoi autorizzare.

   Per suggerimenti in merito a una limitazione delle applicazioni, vedi Restrizioni delle applicazioni consigliate.

5. Seleziona Salva.

Impostazione delle restrizioni API per una chiave API

1. Apri la pagina Credenziali di Google Maps Platform della console Google Cloud.

2. Seleziona la chiave API che vuoi limitare.

3. Nella pagina Modifica chiave API, in Limitazioni API:

   • Seleziona Limita chiave.

   • Apri Seleziona API e seleziona le API o gli SDK a cui vuoi che la tua applicazione acceda utilizzando la chiave API.

     Se un'API o un SDK non sono elencati, devi abilitarli. Per maggiori dettagli, consulta Per attivare una o più API o SDK.

   

4. Seleziona Salva.

   Dopo questo passaggio, la limitazione diventa parte della definizione della chiave API. Assicurati di fornire i dettagli appropriati e seleziona Salva per salvare le restrizioni relative alle chiavi API. Per ulteriori informazioni, consulta la guida Ottenere una chiave API nella documentazione dell'API o dell'SDK specifici che ti interessano.

Per le restrizioni API consigliate, consulta la pagina relativa alle limitazioni API consigliate.

Controllare l'utilizzo della chiave API

Se stai limitando le chiavi API dopo che sono state create o se vuoi vedere quali API sono utilizzate da una chiave in modo da poterle limitare, devi controllare l'utilizzo delle chiavi API. Questi passaggi mostrano in quali servizi e metodi API viene utilizzata una chiave API. Se noti utilizzi che esulano dai servizi di Google Maps Platform, indaga per determinare se è necessario aggiungere ulteriori restrizioni per evitare utilizzi indesiderati. Puoi utilizzare l'Explorer metriche della console Cloud di Google Maps Platform per determinare quali restrizioni ad API e applicazioni applicare alla tua chiave API:

• Determinare le API che utilizzano la chiave API

• Scegli il tipo corretto di limitazione delle applicazioni utilizzando Metrics Explorer

Determina le API che utilizzano la tua chiave API

I seguenti report sulle metriche consentono di determinare quali API utilizzano le tue chiavi API. Utilizza questi report per:

• Scopri come vengono utilizzate le tue chiavi API
• Individua l'utilizzo imprevisto
• Aiuta a verificare se una chiave inutilizzata può essere eliminata in sicurezza. Per informazioni sull'eliminazione di una chiave API, consulta Eliminare le chiavi API inutilizzate.

Quando applichi le restrizioni delle API, utilizza questi report per creare un elenco di API da autorizzare o per convalidare i suggerimenti sulle limitazioni delle chiavi API generate automaticamente. Per saperne di più sulle limitazioni consigliate, consulta la sezione Applicare le limitazioni consigliate. Per ulteriori informazioni sull'utilizzo di Metrics Explorer, consulta Creare grafici con Metrics Explorer.

1. Vai a Metrics Explorer nella console Google Cloud.

2. Accedi e seleziona il progetto per le chiavi API che vuoi controllare.

3. Vai alla pagina Metrics Explorer per il tipo di API:

   • Per le chiavi API che utilizzano qualsiasi API, tranne l'API Maps Embed, vai alla pagina Metrics Explorer.

   • Per le chiavi API che utilizzano l'API Maps Embed: vai a Metrics Explorer.

4. Controlla ogni chiave API:

   1. Seleziona AGGIUNGI FILTRO.

   2. Seleziona l'etichetta credential_id.

   3. Seleziona il valore corrispondente alla chiave da ispezionare.

   4. Nota per quali API viene utilizzata questa chiave API e conferma che l'utilizzo sia previsto.

   5. Al termine, seleziona Rimuovi filtro delete alla fine della riga del filtro attivo per eliminare il filtro aggiuntivo.

5. Ripeti l'operazione per tutte le chiavi rimanenti.

6. Limita le chiavi API solo alle API in uso.

7. Se rilevi l'uso non autorizzato, consulta la pagina Gestire l'uso non autorizzato di una chiave API.

Scegli il tipo corretto di limitazione delle applicazioni utilizzando Metrics Explorer

Dopo aver verificato e adottato le azioni necessarie per assicurarti che la chiave API venga utilizzata solo per i servizi Google Maps Platform in uso, assicurati anche che la chiave API abbia le limitazioni corrette dell'applicazione.

Se la tua chiave API presenta limitazioni consigliate per le chiavi API, applicale. Per ulteriori informazioni, consulta Applicare le restrizioni relative alle chiavi API consigliate.

Se la tua chiave API non presenta suggerimenti sulle limitazioni, determina il tipo di restrizione dell'applicazione da applicare in base all'elemento platform_type segnalato utilizzando Metrics Explorer:

1. Vai a Metrics Explorer nella console Google Cloud.

2. Accedi e seleziona il progetto per le API che vuoi controllare.

3. Vai a questa pagina Metrics Explorer: Metrics Explorer.

4. Controlla ogni chiave API:

   1. Seleziona AGGIUNGI FILTRO.

   2. Seleziona l'etichetta credential_id.

   3. Seleziona il valore corrispondente alla chiave da ispezionare.

   4. Al termine, seleziona Rimuovi filtro delete alla fine della riga del filtro attivo per eliminare il filtro aggiuntivo.

5. Ripeti l'operazione per tutte le chiavi rimanenti.

6. Quando disponi del tipo di piattaforma per le chiavi API, applica la restrizione dell'applicazione per platform_type:

   PLATFORM_TYPE_JS

   Applica le limitazioni relative ai siti web sulla chiave.

   PLATFORM_TYPE_ANDROID

   Applica alla chiave le restrizioni delle app Android.

   PLATFORM_TYPE_IOS

   Applica alla chiave le restrizioni delle app iOS.

   PLATFORM_TYPE_WEBSERVICE

   Potresti dover fare affidamento sulle limitazioni relative agli indirizzi IP per la chiave, per limitarla correttamente. Per ulteriori opzioni per l'API Maps Static e l'API Street View Static, consulta Proteggere le app utilizzando le API Static Web. Per ulteriori istruzioni sull'API Maps Embed, consulta Siti web con l'API Maps Embed.

   La mia chiave API utilizza più tipi di piattaforma

   Il tuo traffico non può essere protetto correttamente con una sola chiave API. Devi eseguire la migrazione a più chiavi API. Per maggiori informazioni, consulta la pagina Eseguire la migrazione a più chiavi API.

Usa chiavi API separate per ogni app

Questa pratica limita l'ambito di ogni chiave. Se una chiave API viene compromessa, puoi eliminare o rigenerare la chiave interessata senza dover aggiornare le altre chiavi API. Puoi creare fino a 300 chiavi API per progetto. Per saperne di più, consulta la pagina Limiti delle chiavi API.

Sebbene una chiave API per applicazione sia ideale per motivi di sicurezza, puoi utilizzare chiavi limitate in più app, purché utilizzino lo stesso tipo di limitazione delle applicazioni.

Applica le restrizioni relative alle chiavi API consigliate

Per alcuni proprietari ed editor del progetto, la console Google Cloud suggerisce limitazioni specifiche delle chiavi API per le chiavi API non limitate in base al loro utilizzo e attività di Google Maps Platform.

Se disponibili, i consigli vengono visualizzati come opzioni precompilate nella pagina Credenziali di Google Maps Platform.

Motivi per cui potresti non visualizzare un consiglio o uno incompleto

• Stai (anche) utilizzando la chiave API su servizi diversi da Google Maps Platform. Se è indicato l'utilizzo su altri servizi, non applicare il consiglio senza prima procedere come segue:

  1. Verifica che l'utilizzo dell'API visualizzato in Metrics Explorer di Google Cloud Console sia legittimo.

  2. Aggiungi manualmente i servizi mancanti all'elenco delle API da autorizzare.

  3. Aggiungi manualmente eventuali limitazioni delle applicazioni mancanti per i servizi aggiunti all'elenco delle API. Se l'altro elemento aggiunto richiede un tipo diverso di limitazioni delle applicazioni, consulta Migrazione a più chiavi API.

• La chiave API non viene utilizzata negli SDK o nelle API lato client.

• Utilizzi la chiave API in un'app o un sito web con volumi bassi che non sono stati utilizzati negli ultimi 60 giorni.

• Hai creato una nuova chiave molto di recente o di recente hai eseguito il deployment di una chiave esistente in una nuova app. In questo caso, attendi qualche giorno in più per consentire l'aggiornamento dei suggerimenti.

• Stai utilizzando la chiave API in più applicazioni che richiederebbero tipi in conflitto di limitazioni delle applicazioni oppure stai utilizzando la stessa chiave API in troppi siti web o app diversi. In entrambi i casi, come best practice, devi eseguire la migrazione a più chiavi. Per maggiori dettagli, consulta Eseguire la migrazione a più chiavi API.

Motivi per cui potresti vedere consigli che non sono visibili nei grafici

• La tua app o il tuo sito web ha inviato solo brevi burst di traffico. In questo caso, passa da una visualizzazione CHART per visualizzare una TABELLA o ENTRAMBI, poiché l'utilizzo è ancora visibile nella legenda. Per ulteriori informazioni, consulta la sezione Attivazione/disattivazione delle legende complete del grafico.

• Il tuo traffico proviene dall'API Maps Embed. Per le istruzioni, consulta Determinare le API che utilizzano la chiave API.

• Il traffico dall'app o dal sito web non rientra nell'intervallo di date disponibile in Explorer metriche della console Google Cloud.

Per applicare le limitazioni consigliate

1. Apri la pagina Credenziali di Google Maps Platform della console Google Cloud.

2. Se disponibile, seleziona Applica le restrizioni consigliate.

   

   Nota: se non vedi restrizioni consigliate, consulta Impostare le limitazioni API per una chiave API per impostare le limitazioni appropriate.

3. Seleziona Controlla utilizzo API per verificare su quali servizi viene utilizzata la chiave API. Se vedi servizi diversi da Google Maps Platform, metti in pausa per rivedere manualmente i passaggi dei consigli precedenti. Consulta la procedura di risoluzione dei problemi all'inizio della sezione Applicare le restrizioni relative alle chiavi API consigliate.

4. Controlla che le limitazioni precompilate corrispondano ai siti web e alle app su cui prevedi di utilizzare la tua chiave API.

   Best practice: documenta e rimuovi le restrizioni delle applicazioni o delle API non affiliate ai tuoi servizi. Se qualcosa si interrompe a causa di una dipendenza imprevista, puoi aggiungere di nuovo le app o le API richieste.

   • Se ti accorgi che manca chiaramente un'app, un sito web o un'API nel tuo consiglio, aggiungili manualmente o attendi un paio di giorni per consentire l'aggiornamento.

   • Se hai bisogno di ulteriore aiuto in merito al consiglio che hai suggerito, contatta l'assistenza.

5. Seleziona Applica.

Cosa fare se la richiesta viene rifiutata dopo l'applicazione di un consiglio

Se noti che un'app o un sito web vengono rifiutati dopo l'applicazione di una restrizione, cerca la restrizione dell'applicazione che devi aggiungere nel messaggio di errore della risposta dell'API.

Per gli SDK lato client, vedi di seguito:

• App dell'API Maps JavaScript: visualizza la console di debug del browser
• App Android: utilizza Android Debug Bridge (adb) o Logcat
• App per iOS:vedi Visualizzazione dei messaggi di log

Per verificare le restrizioni API richieste, consulta Determinare le API che utilizzano la tua chiave API.

Se non riesci a determinare quali limitazioni applicare:

1. Documenta le limitazioni attuali per riferimento futuro.
2. Rimuovile temporaneamente mentre esamini il problema. Puoi controllare l'utilizzo nel tempo seguendo i passaggi descritti in Controllare l'utilizzo della chiave API.
3. Se necessario, contatta l'assistenza.

Elimina le chiavi API inutilizzate

Prima di eliminare una chiave API, assicurati che non venga utilizzata in produzione. Se non c'è traffico riuscito, è probabile che la chiave venga eliminata in sicurezza. Per ulteriori informazioni, consulta Controllare l'utilizzo della chiave API.

Per eliminare una chiave API:

1. Apri la pagina Credenziali di Google Maps Platform della console Google Cloud.

2. Seleziona la chiave API da eliminare.

3. Seleziona il pulsante Elimina nella parte superiore della pagina.

4. Nella pagina Elimina credenziale, seleziona Elimina.

   La propagazione dell'eliminazione di una chiave API richiede alcuni minuti. Una volta completata la propagazione, tutto il traffico che utilizza la chiave API eliminata viene rifiutato.

Fai attenzione quando rigenera le chiavi API

La rigenerazione di una chiave API crea una nuova chiave con tutte le restrizioni della chiave precedente. Questo processo avvia anche un timer di 24 ore, al termine del quale viene eliminata la vecchia chiave API.

Durante questo periodo di tempo vengono accettate sia la chiave precedente che quella nuova, offrendoti la possibilità di eseguire la migrazione delle app per utilizzare la nuova chiave. Tuttavia, una volta trascorso questo periodo di tempo, tutte le app che utilizzano ancora la chiave API precedente smetteranno di funzionare.

Prima di rigenerare una chiave API:

• Innanzitutto, prova a limitare le chiavi API come descritto in Limitare le chiavi API.

• Se non è possibile limitare la chiave API a causa di tipi di restrizioni delle applicazioni in conflitto, esegui la migrazione a più chiavi nuove (con restrizioni) come descritto in Eseguire la migrazione a più chiavi API. La migrazione consente di controllare la migrazione e di implementare le tempistiche per le nuove chiavi API.

Se i suggerimenti precedenti non sono possibili e devi rigenerare la chiave API per impedire l'uso non autorizzato, procedi nel seguente modo:

1. Apri la pagina Credenziali di Google Maps Platform della console Google Cloud.

2. Apri la chiave API che vuoi rigenerare.

3. Nella parte superiore della pagina, seleziona Rigenera chiave.

4. Seleziona Sostituisci chiave.

Nota: se necessario, puoi eseguire il rollback di qualsiasi chiave rigenerata alla versione precedente. Non sono previsti limiti di tempo per il rollback.

Eseguire il rollback di una chiave rigenerata

1. Apri la pagina Credenziali di Google Maps Platform della console Google Cloud.

2. Apri la chiave API di cui vuoi eseguire il rollback.

3. Seleziona Ripristina chiave precedente.

4. Nella finestra di dialogo Ripristina, seleziona Ripristina chiave.

Dopo il rollback, la versione "nuova" precedente della chiave diventa la versione precedente e viene impostato un nuovo timer per la disattivazione di 24 ore. È possibile passare da una coppia all'altra fino a quando non rigenera di nuovo la chiave.

Se rigenera di nuovo la chiave, sovrascriverà il valore della chiave non attivo precedente.

Esegui la migrazione a più chiavi API

Per eseguire la migrazione da una chiave API per più app a una singola chiave API univoca per ogni app:

1. Identificare le app che hanno bisogno di nuove chiavi:

   • Le app web sono le più facili da aggiornare, poiché sei tu a controllare tutto il codice. Pianifica di aggiornare tutte le chiavi delle tue app basate sul web.
   • Le app mobile sono molto più difficili, poiché i tuoi clienti devono aggiornare le app prima di poter utilizzare le nuove chiavi.

2. Crea e limita le nuove chiavi: aggiungi sia una restrizione delle applicazioni sia almeno una restrizione API. Per saperne di più, consulta le best practice consigliate.

3. Aggiungi le nuove chiavi alle tue app: per le app mobile, questo processo potrebbe richiedere mesi prima che tutti gli utenti eseguano l'aggiornamento all'app più recente con la nuova chiave API.

Proteggi le app con API web statiche

Le API Static Web, come l'API Maps Static e l'API Street View Static, sono simili alle chiamate API dei servizi web.

Puoi chiamare entrambi utilizzando una semplice API REST HTTPS e in genere generi l'URL della richiesta API sul server. Tuttavia, invece di restituire una risposta JSON, le API Static Web generano un'immagine che puoi incorporare nel codice HTML generato. Ancora più importante, in genere è il client dell'utente finale, non il server, a chiamare il servizio Google Maps Platform.

Utilizzare una firma digitale

Come best practice, utilizza sempre le firme digitali oltre a una chiave API. Inoltre, controlla quante richieste non firmate vuoi consentire al giorno e modifica le quote per le richieste non firmate di conseguenza.

Per ulteriori informazioni sulle firme digitali, consulta la Guida alla firma digitale.

Proteggi il tuo secret di firma

Per proteggere le API Static Web, non incorporare i secret di firma API direttamente nel codice o nella struttura dell'origine, né esporli in applicazioni lato client. Segui queste best practice per la protezione dei secret di firma:

• Firma le richieste lato server, non sul client. Se esegui la firma lato client in JavaScript, la esponi a chiunque visiti il tuo sito. Pertanto, per le immagini generate dinamicamente, genera sempre gli URL di richiesta dell'API Maps Static e dell'API Street View Static firmati lato server quando pubblichi la pagina web. Per i contenuti web statici, puoi utilizzare il widget Firma un URL ora nella pagina Credenziali di Google Maps Platform della console Cloud.

• Archivia i secret di firma al di fuori del codice sorgente e della struttura di origine dell'applicazione. Se inserisci i secret di firma o altre informazioni private nelle variabili di ambiente o includi file che vengono archiviati separatamente e poi condividi il tuo codice, i secret di firma non saranno inclusi nei file condivisi. Se archivi i secret di firma o altre informazioni private nei file, mantieni i file al di fuori della struttura di origine dell'applicazione per mantenere i secret di firma fuori dal sistema di controllo del codice sorgente. Questa precauzione è particolarmente importante se utilizzi un sistema di gestione del codice sorgente pubblico, come GitHub.

Proteggi la tua chiave API nelle app che usano i servizi web

Archiviare le chiavi API al di fuori del codice sorgente o della struttura di origine dell'applicazione. Se inserisci le chiavi API o qualsiasi altra informazione nelle variabili di ambiente oppure includi file archiviati separatamente e poi condividi il tuo codice, le chiavi API non verranno incluse nei file condivisi. Questo è particolarmente importante se utilizzi un sistema di gestione del codice sorgente pubblico, come GitHub.

Proteggi la tua chiave API e il secret di firma nelle app mobile usando servizi web o API web statiche

Per proteggere le app mobile, utilizza un archivio chiavi sicuro o un server proxy sicuro:

• Archivia la chiave API o il secret di firma in un archivio chiavi sicuro. Questo passaggio rende più difficile lo scraping di chiavi API e altri dati privati direttamente dall'applicazione.

• Utilizza un server proxy sicuro. Il server proxy fornisce una solida fonte per l'interazione con l'API Google Maps Platform appropriata. Per ulteriori informazioni sull'utilizzo di un server proxy, consulta la pagina Vivere in modo vigile: utilizzare i server proxy con le librerie client dell'API di dati di Google.

  • Crea le tue richieste Google Maps Platform sul server proxy. Non consentire ai client di inoltrare chiamate API arbitrarie tramite il proxy.

  • Post-elabora le risposte di Google Maps Platform sul tuo server proxy. Filtra i dati non necessari al client.

Gestire l'uso non autorizzato di una chiave API

Se rilevi un utilizzo non autorizzato della tua chiave API, procedi nel seguente modo per risolvere il problema:

1. Limita le chiavi: se hai utilizzato la stessa chiave in più app, esegui la migrazione a più chiavi API e utilizza chiavi API separate per ogni app. Per ulteriori dettagli, consulta:

   • Limitare le chiavi API
   • Eseguire la migrazione a più chiavi API
   • Utilizzare chiavi API separate per ogni app

2. Rigenera le chiavi solo se non puoi limitarle. Leggi attentamente la sezione Fai attenzione durante la rigenerazione delle chiavi API prima di procedere.

3. Se i problemi persistono o se hai bisogno di aiuto, contatta l'assistenza.

Limitazioni consigliate per applicazioni e API

Le seguenti sezioni suggeriscono le restrizioni relative ad applicazioni e API appropriate per ogni API, SDK o servizio Google Maps Platform.

Limitazioni API consigliate

Le seguenti linee guida per le restrizioni delle API si applicano all'intero Google Maps Platform:

• Limita la chiave API solo alle API per cui la utilizzi, con le seguenti eccezioni:

  • Se la tua app utilizza l'SDK Places per Android o l'SDK Places per iOS, autorizza l'API Places.

  • Se la tua app utilizza l'API Maps JavaScript, autorizzala sempre sulla tua chiave.

  • Se utilizzi anche uno dei seguenti servizi API Maps JavaScript, devi autorizzare anche le seguenti API:

  Servizio	Restrizione delle API
  Servizio Directions, API Maps JavaScript	API Directions
  Servizio Distance Matrix, API Maps JavaScript	API Distance Matrix
  Servizio Elevation, API Maps JavaScript	API Elevation
  Servizio Geocoding, API Maps JavaScript	API Geocoding
  API Places Library, Maps JavaScript	API Places

Ecco alcuni esempi:

• Utilizzi Maps SDK for Android e Places SDK for Android, pertanto includi l'SDK Maps for Android e l'API Places come restrizioni dell'API.

• Il tuo sito web utilizza l'API Maps JavaScript Elevation Service e l'API Maps Static, quindi aggiungi limitazioni API per tutte le seguenti API:

  • API Maps JavaScript
  • API Elevation
  • API Maps Static

Limitazione consigliata delle applicazioni

Siti web con API Maps JavaScript o Static Web

Per i siti web che utilizzano i servizi Maps JavaScript o le API Static Web, utilizza la restrizione dell'applicazione Websites.

Da utilizzare per i siti web che utilizzano le seguenti API e servizi JavaScript:

Servizio di indicazioni stradali Servizio di matrice delle distanze Servizio per l'altitudine Servizio di geocodifica

API Maps JavaScript1 Raccolta di Places API Maps Static2 API Street View Static2

¹ Per le app mobile, valuta l'utilizzo dell'SDK Maps per Android nativo e dell'SDK Maps per iOS.

² Vedi anche Proteggere le app mobile mediante servizi web o API Static Web.

Siti web con l'API Maps Embed

Poiché l'utilizzo dell'API Maps Embed è senza costi, devi comunque limitare qualsiasi chiave API utilizzata per impedire abusi su altri servizi.

Best practice: crea una chiave API separata per l'utilizzo dell'API Maps Embed e limita questa chiave solo all'API Maps Embed. Questa limitazione protegge sufficientemente la chiave, impedendone l'utilizzo non autorizzato su qualsiasi altro servizio Google.

Se non riesci a separare l'utilizzo dell'API Maps Embed con una chiave API separata, proteggi la chiave utilizzando la restrizione dell'applicazione Websites.

App e server che utilizzano servizi web

Per le app e i server che utilizzano i servizi web, utilizza la limitazione delle applicazioni IP addresses.

Da utilizzare per app e server che utilizzano queste API:

API Address Validation API Aerial View API Air Quality API Directions API Distance Matrix API Elevation API Geocoding

API Geolocation API Map Tiles API Places 3 API Roads API Routes API Polllen API Solar API Time Zone

³ Per le app mobile, potresti utilizzare l'SDK Places per Android nativo e l'SDK Places per iOS.

App Android

Per le app su Android, utilizza la limitazione delle app Android apps. Da utilizzare per le app e i server che utilizzano i seguenti SDK:

• SDK Maps per Android
• SDK Places per Android

Inoltre, per impedire il controllo accidentale delle chiavi API nel controllo della versione, utilizza il plug-in Gradle Secrets per inserire secret da un file locale anziché archiviarli nel manifest Android.

App per iOS

Per le app su iOS, utilizza la limitazione delle applicazioni iOS apps. Da utilizzare per le app e i server che utilizzano i seguenti SDK:

• SDK Maps per iOS
• SDK Places per iOS

Informazioni correlate

• Ottimizzare l'utilizzo di Google Maps Platform con le quote (video)
• Come generare e limitare le chiavi API per Google Maps Platform (video)
• Limitazione delle chiavi API
• Protezione delle chiavi API quando si utilizzano le API Static Maps e Street View
• 15 best practice per Google Maps Platform