API-ключи во фронтенде: ограничения, прокси и ротация
Почему «секрет» в JS не секрет, referrer restrictions и server-side proxy для карт и платежей.
Любой ключ в bundle или mobile app извлекается; защита — ограничение по HTTP referrer/IP, квоты и минимальные scope permissions.
Платёжные и приватные операции всегда через backend с server-side secret.
- Using API Keys — Google Cloud Documentation — Ограничения и best practices.
- OWASP API Security Top 10 — Классы рисков API.
Ротация
Держите два активных ключа при смене; мониторьте аномальные квоты.
Не коммитьте ключи — используйте env и secret scanning.