Нужно ли сохранять токен Mapbox в переменной окружения?

Question

Я только что перешел с gmaps на Mapbox и хочу сохранить свою учетную запись и токены в безопасности.

Я уже добавил набор URL, которые могут получить доступ к моему сервису mapbox. У меня есть области по умолчанию:

стили: плитки Стили: чтение шрифты: чтение Набор данных: чтение видение: чтение

В моем приложении я просто показываю некоторые маркеры на экране и показываю всплывающее окно при наведении курсора, поэтому я думаю, что с этими областями все в порядке.

Дело в том, что мой токен находится на клиенте, так что он виден публике.

Это правильно? или я должен отправить его из бэкэнда или что-то? но в этом случае все равно будет отображаться на клиенте, это нормально?

Answer 1

То, что вы делаете, правильно: выдает токен публичного API (pk.something) в интерфейсе JavaScript.Похоже, риск того, что вы пытаетесь снизить риск, - это риск того, что кто-то захватит ваш токен и сделает собственные вызовы API.Установка ограничений URL (как вы это сделали) и периодическое вращение токенов - это правильный способ сделать это.