我目前正在开发一个使用 Google 的 Blogger API 的项目。前天(周六)有人攻击了我的应用程序并获取了 API Key,我每天访问帖子的限制是 100,000(100K/24 小时)。我在星期六达到了限制(我怀疑那些是使用我的 API 密钥进行的欺诈性点击,因为我只有大约 4K 客户使用该应用程序,我将 API 密钥嵌入到客户端代码中)。
之后,在五分钟内 API 限制再次达到(24 小时后)5K。所以我删除了 API 密钥并生成了一个新的。
我的问题是如何在客户端代码中保护我的新 API 密钥,以便攻击者无法访问 API 密钥或至少某种方法来间接使用客户端代码中的 API 密钥。