Прежде всего, этот вопрос тесно связан с этим вопросом , хотя он не является его дубликатом. Насколько я понял, когда я ограничиваю свой ключ API, Google не может понять, что мое приложение выполняет запрос, если я не включил в свои запросы отпечаток пальца SHA-1 и имя пакета. Если я этого не сделаю, даже когда мое приложение выполняет запрос, результат возвращает пустое / нулевое значение, указывающее, что используемый мной API-ключ ограничен. Это ограничение возникает, когда я пытаюсь сделать запрос с помощью placeId для получения некоторых данных из
https://maps.googleapis.com/maps/api/place/details/json?placeid=$placeId&fields=opening_hours&key=MYKEY"
, но я не ограничен, когда использую SDK, предоставленные Google. (Другими словами, я могуполучить исходные данные, которые предоставляет PlacesAutoComplete, но не может получить дополнительные данные с помощью веб-запроса без добавления заголовков к моему запросу)
1) Есть ли какое-либо решение для этого? Злоумышленник не может найти мой отпечаток сертификата и сделать запрос, притворяясь, что это я. 2) Почему я должен ограничивать свои ключи API, если я не могу найти решение для этого. Хотя я не эксперт по безопасности, любой, кто каким-то образом может узнать мой ключ API, также может узнать мой отпечаток сертификата. Предоставляет ли мне это ограничение что-либо, кроме того, что злоумышленник теряет 1 минуту своей жизни, добавляя заголовки к своему запросу? Разве размещение этой информации в веб-запросе не опасно?