2
文档在https://developers.google.com/console/help/new/#generatingdevkeys指出:google +如何保护ios应用程序中嵌入的api-key?
创建,如果你的应用程序在iOS设备上运行,使用的是iOS密钥。 Google会验证每个请求是否都来自与您指定的其中一个包标识符相匹配的iOS应用程序。应用的.plist文件包含其捆绑标识符。例如:com.example.MyApp
这是否意味着google API(服务器端)以某种方式验证/确保只有我的应用程序可以使用此密钥?或者,这是否意味着Google提供的iOS库在接受api-key之前会进行完整性检查?是否有任何措施可以防止恶意用户反编译我的iOS应用程序,并在他自己的应用程序中重新使用此api-key(直接进行HTTP调用而不使用谷歌iOS库)?
将此扩展到浏览器中使用的api-key--唯一的保护似乎是Referer检查域名白名单。是否有任何东西阻止恶意应用程序开发人员从浏览器中获取我的API密钥并在其本机应用程序中使用它(这会设置欺骗性Referer标头)?