Q&A
ご回答いただきありがとうございます。
ではやはり、そもそもJSにAPIキーを記述してしまうこと自体、好ましい実装ではないのでしょうか。。?
現在YouTubeのAPIを用いてWEBアプリケーションを作成しているものです。
実際にアプリケーションを公開したいのですが、可能であればJSに含まれるAPIキーを表示しないように公開したいと考えています。現在はHTMLファイルにベタでJSを記述しており、検証ツールから確認するとAPIキーを含んだソースが丸裸です。
gitにもAPIキーを***に置き換えてアップしているので、gitのデモページでは動作できない状態です。
・検証ツールからAPIキーを閲覧できないようにしたい。
・可能であればAPIキーを暗号化などしつつ、gitのデモページで動作させたい。
上記2点に関して、何か良い解決策がありましたら教えていただきたいです。
回答5件
0
b. ウェブブラウザなどのクライアント上で実行されるアプリケーションの場合は、ブラウザ キーを使用します。キーが未認証のサイトで使用されるのを防ぐには、自分が管理しているドメインからの照会だけが許可されるようにします。
公開しても良い「ブラウザ キー」という種類の API キーがあるそうです。そちらを使ってください。
投稿2019/08/04 22:57
総合スコア28671
0
ベストアンサー
YouTubeのAPIであれば、ブラウザキーにてリファラーを制限できるので、公開してしまってもなんら問題ないかと思います。
実装上もそういった想定をしています。
投稿2019/08/06 00:54
総合スコア3191
APIの設定>アプリケーション制限
からリファラーの制限を掛けることで比較的簡単に解決できたためベストアンサーとさせていただきます。ブラウザキーやサーバーキー等、その他の制限もこちらから設定できるようですね…
ご回答いただきありがとうございました!
0
すでに回答としてありますが、仕組みとしてブラウザがJavaScriptを実行するときにAPIキーが必要になるので、絶対に隠すことはできません。
ただ、簡易的にAPIキーがわからなくするようにしたいのであれば、JavaScriptを難読化して人間に読みづらくするという方法があります。
ただし、この方法でもネットワークの通信内容を見られたらAPIキーはわかってしまうので、気休め程度にしかなりません。また、動作速度が遅くなるので、それに関しても注意が必要です。
難読化ツールにはいろいろありますので、Googleなどで調べて自分に合ったものを探せばいいと思います。
投稿2019/08/04 16:55
総合スコア478
0
Youtube APIについてはよく知りませんが、それが公開してはいけないAPIキーであれば多大な支払責任を負う可能性があります。
https://qiita.com/koyama9876/items/add70cba3cccdb7fa995
すでに回答あるように、隠蔽するにはサーバサイドで利用するしかありません。
投稿2019/08/04 14:08
退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。