我的 API 密钥如何对公众隐藏 [重复]

Question

我是个初学者，所以如果这很明显，请多多包涵。我已经做了一些研究，但我找不到我的具体问题。我已经使用 html/css/js 创建了我的网站，并准备好进行部署。我使用 firebase 作为后端来存储一些数据。我的一个 js 文件中有一个 firebase 配置函数，其中包含我的 API 密钥。我看过一些使用 .env 文件的指南，但他们都说它用于源代码控制。我的问题是：如果我按原样部署我的网站，我的 API 对公众可见吗？如果是这样，确保我的密钥保密的最佳做法是什么？

Answer 1

这取决于您的密钥是否存储在后端，那么您无需担心它们，特别是如果它们存储为环境变量的一部分（仅对您可见）但如果您需要使用该密钥从您的前端进行 API 调用我最好的建议是让您将它们存储在内存中（在可能的全局变量中）。