URL 기반 API 키 제한 : 유효성 검사는 어떻게 작동합니까?

Question

Google에서 Google지도 서비스를 보호하기 위해 Google에서 사용한 것과 같은 URL 기반 API 키 제한이 어떻게 작동하는지 알고 싶습니다.

이 기사에서 내가 이해 한 것에서 "Ajax 서비스에 대한 액세스 제한, "서비스가 일방 통화 해시 함수를 사용하여 주어진 도메인에 대한 특정 키를 생성하는 경우, 두 번째는 서비스가 참조 헤더를 기반으로 키를 검증하는 경우.

이 기사는 매우 설명 적이지만 여전히 검증 방법이 얼마나 안전한 지 이해하려고 노력하는 데 여전히 문제가 있습니다. 내 말은, 키가 참조 자에 대해서만 점검되면, 이것이 위조하기가 쉽지 않습니까? 호스트 파일의 간단한 "127.0.0.1 www.mydomain.com"이 유효성 검사를 속이기에 충분할 것이며, 참조자가 www.mydomain.com이라고 생각합니다.

나는 몇 가지를 오해했을 수도 있고 몇 가지 설명이 높아질 것입니다.

Answer 1

당신이 인용하는 기사의 "제한"섹션은 구체적으로 추천자를 스푸핑 할 가능성을 언급합니다.

호스트 파일을 변경하면 참조자를 위조하기에 충분하지만 사이트에 액세스 할 때만 가능합니다. 자신의 컴퓨터에서. 즉, 로컬로 테스트 할 때만 라이센스를 남용 할 수 있습니다. 그것은 그다지 흥미로운 학대가 아닙니다.

앱을 게시하려면 추천자를 스푸핑해야합니다. 모두 브라우저, 로컬 실행 실행 파일에서 API를 사용하지 않는 한 브라우저는 모든 헤더를 완전히 제어 할 수 있습니다.