質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
SPA(Single-page Application)

SPA(Single-page Application)は、単一のWebページのみでコンテンツの切り替えができるWebアプリケーションもしくはWebサイトです。ブラウザでのページ遷移がないため、デスクトップアプリケーションのようなUXを提供します。

GitHub

GitHubは、Gitバージョン管理システムを利用したソフトウェア開発向けの共有ウェブサービスです。GitHub商用プランおよびオープンソースプロジェクト向けの無料アカウントを提供しています。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

API

APIはApplication Programming Interfaceの略です。APIはプログラムにリクエストされるサービスがどのように動作するかを、デベロッパーが定めたものです。

Q&A

解決済

5回答

7726閲覧

JavaScriptに記述したAPIキーを閲覧できない状態にしたい。

sasa0330

総合スコア64

SPA(Single-page Application)

SPA(Single-page Application)は、単一のWebページのみでコンテンツの切り替えができるWebアプリケーションもしくはWebサイトです。ブラウザでのページ遷移がないため、デスクトップアプリケーションのようなUXを提供します。

GitHub

GitHubは、Gitバージョン管理システムを利用したソフトウェア開発向けの共有ウェブサービスです。GitHub商用プランおよびオープンソースプロジェクト向けの無料アカウントを提供しています。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

API

APIはApplication Programming Interfaceの略です。APIはプログラムにリクエストされるサービスがどのように動作するかを、デベロッパーが定めたものです。

0グッド

1クリップ

投稿2019/08/04 13:32

現在YouTubeのAPIを用いてWEBアプリケーションを作成しているものです。

実際にアプリケーションを公開したいのですが、可能であればJSに含まれるAPIキーを表示しないように公開したいと考えています。現在はHTMLファイルにベタでJSを記述しており、検証ツールから確認するとAPIキーを含んだソースが丸裸です。

gitにもAPIキーを***に置き換えてアップしているので、gitのデモページでは動作できない状態です。

・検証ツールからAPIキーを閲覧できないようにしたい。
・可能であればAPIキーを暗号化などしつつ、gitのデモページで動作させたい。

上記2点に関して、何か良い解決策がありましたら教えていただきたいです。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答5

0

承認の認証情報を取得する

b. ウェブブラウザなどのクライアント上で実行されるアプリケーションの場合は、ブラウザ キーを使用します。キーが未認証のサイトで使用されるのを防ぐには、自分が管理しているドメインからの照会だけが許可されるようにします。

公開しても良い「ブラウザ キー」という種類の API キーがあるそうです。そちらを使ってください。

投稿2019/08/04 22:57

Zuishin

総合スコア28656

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

クライアントサイドスクリプトはクライアント側で動作するので、ソースコードは隠せません。
APIキーが必要な処理は、サーバサイドスクリプトに実行させましょう。

Re: sasa0330 さん

投稿2019/08/04 13:36

think49

総合スコア18156

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

sasa0330

2019/08/04 13:40

ご回答いただきありがとうございます。 ではやはり、そもそもJSにAPIキーを記述してしまうこと自体、好ましい実装ではないのでしょうか。。?
think49

2019/08/04 13:44

「好ましい」は気の持ちようなので、ご自身で判断されることかと思います。 公開されていれば、他人にAPIキーを使われるリスクはあります。
guest

0

ベストアンサー

YouTubeのAPIであれば、ブラウザキーにてリファラーを制限できるので、公開してしまってもなんら問題ないかと思います。

実装上もそういった想定をしています。

投稿2019/08/06 00:54

macaron_xxx

総合スコア3191

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

sasa0330

2019/08/18 12:12

APIの設定>アプリケーション制限 からリファラーの制限を掛けることで比較的簡単に解決できたためベストアンサーとさせていただきます。ブラウザキーやサーバーキー等、その他の制限もこちらから設定できるようですね… ご回答いただきありがとうございました!
guest

0

すでに回答としてありますが、仕組みとしてブラウザがJavaScriptを実行するときにAPIキーが必要になるので、絶対に隠すことはできません。
ただ、簡易的にAPIキーがわからなくするようにしたいのであれば、JavaScriptを難読化して人間に読みづらくするという方法があります。
ただし、この方法でもネットワークの通信内容を見られたらAPIキーはわかってしまうので、気休め程度にしかなりません。また、動作速度が遅くなるので、それに関しても注意が必要です。

難読化ツールにはいろいろありますので、Googleなどで調べて自分に合ったものを探せばいいと思います。

投稿2019/08/04 16:55

stmkza

総合スコア478

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

Youtube APIについてはよく知りませんが、それが公開してはいけないAPIキーであれば多大な支払責任を負う可能性があります。

https://qiita.com/koyama9876/items/add70cba3cccdb7fa995

すでに回答あるように、隠蔽するにはサーバサイドで利用するしかありません。

投稿2019/08/04 14:08

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問