21

如果我编写了一个谷歌应用程序脚本,并且在脚本中我需要调用第三方 API 或进行数据库调用,那么管理 API 密钥和密码的适当方法是什么?

如果我将脚本作为 API 发布但不共享对包含 Google Apps 脚本的 Google Drive 位置的访问权限,那么将机密直接放在脚本中是否有任何风险

4

1 回答 1

7

没有正确或错误的答案。有很多因素需要考虑:

  • 如果这适用于/在 G-Suite 中,那么您的 G-Suite 管理员将拥有(或可以获得)任何东西的访问权限。这可能是也可能不是问题。
  • 如果您将数据放在工作表中,任何对该工作表具有读取权限的人都可以看到数据。
  • 您可以使用PropertiesService,但随后人们可以按照文档中的说明进行访问。用户属性是一种方式,但可能不适用于所有用例——比如另一个用户正在执行代码。如果您的用例可行,您可以使用可安装的触发器。
  • 如果人们需要能够使用您的密钥进行 API 调用,您可以编写一个他们可以调用但看不到源代码的代理网络应用程序。
于 2020-03-20T18:45:28.233 回答