Как безопасно использовать ключ API карты Google на Android?

Question

Чтобы не раскрывать мой ключ API карты Google, лучше не включать ключ API в репозиторий приложения Android. Как я могу использовать Google Map, если ключа API нет в приложении? Хранение ключа API на сервере - это способ получить go, поэтому могу ли я сделать сетевой вызов при инициализации приложения и запросить ключ API? После получения ответа от сервера сохранить ключ API в общих настройках? Это единственный способ, который я мог придумать, но если он хранится в общих настройках, я считаю, что ключ API можно получить, прочитав значения в общих настройках с помощью обратного проектирования. Может ли кто-нибудь сказать мне, как безопасно использовать ключ API, спасибо.

Answer 1

Безопасное использование ключа API платформы Google Maps в приложениях Android описано в документации Google Maps Platform:

https://developers.google.com/maps/documentation/android-sdk/get-api-key#restrict_key

Уловка применяется Android ограничение приложения, которое состоит из имени пакета вашего приложения и отпечатка SHA-1 вашего сертификата. Это ограничение устанавливается в вашей консоли Google Cloud и не отображается нигде в вашем исходном коде.

Если кто-то попытается использовать ваш ключ API несанкционированным образом, он получит сообщение об ошибке, потому что ему нужен ваш частный сертификат для создания ключ API работает.

Итак, нет проблем с добавлением ключа API в исходный код, если вы правильно установили ограничение Android.

Кроме того, я бы посоветовал взглянуть в статье передового опыта по ключевым словам API:

https://developers.google.com/maps/api-key-best-practices

Надеюсь, мой ответ проясняет ваши сомнения.