Приложения и проекты, использующие API и SDK платформы Google Карт, должны использовать ключи API или, если поддерживается, OAuth 2.0 для аутентификации.
Эти рекомендации покажут вам, как защитить доступ к платформе Карт.
Если вы хотите использовать OAuth 2.0 для авторизации трафика между серверами , найдите раздел, посвящённый OAuth, в документации по вашему API. Подробнее см. в разделе «Использование OAuth для серверных приложений» .
Помимо ограничений, накладываемых на приложения и ключи API, соблюдайте все меры безопасности, применимые к конкретным продуктам платформы Google Карт. Например, см. раздел «Рекомендуемые ограничения на приложения и API» ниже, посвящённый Maps JavaScript API.
Если ваши ключи API уже используются, ознакомьтесь с рекомендациями ниже в разделе Если вы ограничиваете используемый ключ API .
Более подробную информацию о цифровых подписях, поддерживаемых Maps Static API и Street View Static API, см. в Руководстве по цифровым подписям .
Рекомендуемые лучшие практики
Чтобы повысить уровень безопасности и избежать выставления счетов за несанкционированное использование, следуйте этим рекомендациям по обеспечению безопасности API для всех API, SDK или сервисов платформы Google Карт:
Рекомендуется для всех вариантов использования API-ключа
Используйте отдельные ключи API для каждого приложения
Удалить неиспользуемые ключи API
Проверьте использование вашего ключа API
Будьте осторожны при ротации ключей API
Разделите использование клиентской и серверной части на отдельные проекты
Отключить неиспользуемые службы
Дополнительные рекомендации для клиентских приложений
Безопасные вызовы клиентских веб-сервисов
Дополнительные рекомендации для веб-сайтов или клиентских приложений, использующих статические веб-API
Защитите использование статического веб-API
Дополнительные рекомендации для серверных приложений, использующих веб-сервисы
Защитите ключи API веб-сервиса
Используйте OAuth для серверных приложений
Если вы ограничиваете или ротируете используемый ключ API
Прежде чем менять ключ API, проверьте использование ключа API. Этот шаг особенно важен, если вы добавляете ограничения для ключа, который уже используется в производственном приложении.
После смены ключа при необходимости обновите все свои приложения, используя новые ключи API.
Если ваш ключ API не был скомпрометирован и не используется активно, вы можете перенести свои приложения на несколько новых ключей API в удобном для вас темпе, оставив исходный ключ API нетронутым до тех пор, пока не будете наблюдать только один тип трафика, а ключ API можно будет безопасно ограничить одним типом ограничений приложений, не вызывая непреднамеренных сбоев в обслуживании.
Дополнительные инструкции см. в разделе Переход на несколько ключей API .
Отслеживайте использование с течением времени и смотрите, когда конкретные API, типы платформ и домены были перенесены со старого ключа API, прежде чем ограничить его использование или удалить. Подробнее см. в разделах «Отчётность и мониторинг» и «Метрики».
Если ваш ключ API был скомпрометирован, вам следует быстрее принять меры по его защите и пресечению злоупотреблений. В приложениях для Android и iOS ключи не заменяются, пока пользователи не обновят свои приложения. Обновление или замена ключей на веб-страницах или в серверных приложениях гораздо проще, но всё равно может потребовать тщательного планирования и быстрой работы.
Для получения дополнительной информации см. раздел Обработка несанкционированного использования ключа API .
Дополнительная информация
Рекомендуемые ограничения приложений и API