0

在阅读 Google Cloud API 网关的文档时,我发现了这段:

与使用短期令牌或签名请求的凭证不同,API 密钥是请求的一部分,因此被认为容易受到中间人攻击,因此安全性较低。除了下面描述的一种身份验证方法之外,您还可以使用 API 密钥。出于安全原因,当 API 调用包含敏感数据时,请勿自行使用 API 密钥。 https://cloud.google.com/api-gateway/docs/authentication-method#api_keys

有人可以详细说明突出显示的句子吗?安全原因究竟是什么?

4

1 回答 1

1

因为 API 密钥是不记名令牌并且相对容易获得,所以如果我得到你的 API 密钥,我可以代表你进行 API 调用,如果我可以进行的 API 调用泄露敏感信息,那么我也得到了。

我认为考虑 API 密钥的一种方法是将其视为唯一标识符,但对它们的了解不成问题。例如,像电话号码。他们 (a) 识别您的身份,但我希望在我回答您进行身份验证时听到您的声音;(b) 人们不喜欢公布他们的(手机)电话号码。

于 2021-06-04T21:15:31.753 回答