您的应用包含公开的 Google Cloud Platform (GCP) API 密钥。有关详细信息，请参阅此 Google 帮助中心文章

Question

我的密钥使用包名和 SHA1 受到限制，Google Play 商店仍然显示此警告。

知道为什么会这样显示。我在 build.gradle 文件中定义了我的 API 密钥并从那里使用它。

Answer 1

根据 google 的建议，设置限制，例如指定包名称和 SHA-1 密钥是要走的路。

这里已经解释过了：https://cloud.google.com/docs/authentication/api-keys#securing_an_api_key

现在，这里的问题是，无论您做什么，您的 API 密钥都将在代码库中结束，即，如果您在代码库之外指定它（通过一些属性文件）但在构建阶段通过 BuildConfig 字段将其传递（整个密钥对反编译您的代码的人可见，因为它现在是 BuildConfig 类文件的一部分）或者您将其拆分并在代码库中连接（拆分密钥仍然可见，任何人都可以通过查看使用来连接它们以获得最终密钥来自反编译的 apk)。

拆分密钥版本将消除 Play 管理中心的警告，但密钥仍然暴露。

因此，我建议的解决方案是对您的 API 密钥进行编码并将其传递给您的代码库。就在使用它之前，你将它解码回来。

一个非常简单的例子可以是：

请使用更好的编码算法而不是这个，这仅用于演示目的。这里我们使用 Base64 编码。

import android.util.Base64

fun main() {
   // API Key = "123456ABC"
   val myEncodedApiKey = "MTIzNDU2QUJD" // Should be passed via BuildConfig
   val decodedApiKey = Base64.decode(myEncodedApiKey, Base64.DEFAULT)

   // Now use `decodedApiKey` in your codebase.
   val decodedApiKeyString = String(decodedApiKey)
}

为什么这样更好？

1. 您的密钥与 GCP 项目中的密钥不完全相同。
2. 播放控制台在扫描您的代码库时，无法将其匹配回您的 GCP 项目 API 密钥。因此没有警告。

更新（关于使用 google-services.json 文件获取 API 密钥的说明）：

使用来自 google-services.json 的 API 密钥的解决方案不太有效。如果您连接您的 Firebase 帐户，通常会生成 google-services.json 文件。此处定义的 API 密钥具有不同的限制模型。您在 GCP 项目中定义的是不同的，它允许您传入包名称和 SHA-1 密钥，并限制为特定类型的 API 访问，例如仅 Youtube 访问。因此，如果要使用来自 google-services.json 的 API 密钥，那么您基本上没有使用您在 GCP 帐户中设置的限制。 GCP 帐户不会生成 google-services.json 文件。

这里有一个来自谷歌的官方文档，用于设置使用 GCP 项目定义的 API 密钥的 Youtube API，在文档中，它提到直接将密钥放入代码中。 （这无论如何都是错误的，因为它被暴露了，但那是你的谷歌）。

https://developers.google.com/youtube/android/player/setup

在任何文档中都没有提到使用 google-services.json 文件来检索 API 密钥。

Answer 2

有 Google Play 广告吗？至少从 19 年 8 月 1 日起，触发此操作的 api 密钥似乎嵌入在完整的 google play services 广告库中。那就是——

implementation 'com.google.android.gms:play-services-ads:18.1.1'

触发警报，但是

implementation 'com.google.android.gms:play-services-ads-lite:18.1.1'

removes some code that already exists in the play store 没有。错误本身引用了一个混淆的方法，我在 apk 中追踪到：

com/google/android/gms/internal/ads/[obfuscatedstring]/<clinit>()

这似乎设置了一堆常量。其中之一叫做gads:safe_browsing:api_key

以防万一我错了，这不是每个人的代码，我不会在这里重现它，但它在我看来确实像一个可能触发问题的 GCP 密钥。它有 40 个字符，这个相同的密钥可以在 Internet 的其他地方找到。

我的猜测是，如果您使用的是 play-services-ads 库（而不是 Firebase 库），它可能会看到此字符串并发出警报。

Answer 3

您可以通过像这样将密钥拆分为 4 个部分来消除此警告

public static final String API_KEY_PART_1 = "Asdsdfdd-";

public static final String API_KEY_PART_2 = "dfsFdsdsFdd";

public static final String API_KEY_PART_3 = "Pgdhs_SfSfs";

public static final String API_KEY_PART_4 = "fdfDDSD";

并通过连接字符串来使用它

.attest(nonce.getBytes(), Constants.API_KEY_PART_1+Constants.API_KEY_PART_2+Constants.API_KEY_PART_3+Constants.API_KEY_PART_4)

注意：确保您的 API 密钥仅限于应用程序访问。否则，如果有人反编译您的 apk 并使用您的 api 密钥，则可能会增加您的账单。

使用 SHA 和包名称 click here 限制您的 API 密钥以了解详细信息

Answer 4

抱歉，这里游戏有点晚了……

按照以下步骤操作：

1. Firebase console 将帮助您下载 google-services.json。此外，大多数 API 的快速入门指南都有生成此文件的说明。下载 google-services.json 文件后，将其复制到 Android Studio 项目的 app/ 文件夹中，如果您使用多种构建类型，则复制到 app/src/{build_type} 文件夹中。
2. Google Cloud Console 将帮助您通过选择在 Firebase 控制台中创建的项目在 API 库部分启用 GCP（例如：Places API、Map SDK for android 等）。

3. 您可以通过以下方式获取 api 密钥：

   activity.getResources().getString(R.string.google_api_key);

字符串键名为“google_api_key”，用于获取 API 密钥。

仅供参考，google-services.json 文件被解析并将其值添加到您拥有的 xml（路径：app/build/generated/res/google-services/{build_type}/values/values.xml）访问：https://developers.google.com/android/guides/google-services-plugin

Answer 5

抱歉，我之前的回答有点晚了，因为我在一些研究后发现了针对此问题的适当修复，因此绕过了警告

您可以从 google json 文件中获取 api 密钥。 google-services.json 文件被解析，它的值被添加到一个 xml 中，您可以在 Java 代码click here 中访问 json 的所有元素作为 Android 资源以获取详细信息

以下是从 json 文件访问 google api 密钥的示例：

activity.getResources().getString(R.string.google_api_key);

Answer 6

可能会晚，但会帮助一些人，

Firebase JSON 配置文件和谷歌没有链接 地图集成 API 密钥

Firebase 说明

如果您将 Firebase 集成到您的应用中，则需要将 JSON 配置放入您的代码中，这是将应用与 Firebase 连接的唯一方法。

但在 Google 地图中，情况就完全不同了。它将提供密钥 - 放置在我们的代码中，但不是硬编码或按原样放置，

解决方案：

我已经结合了两种解决方案来解决，从Nishant 和Sahil Arora，将密钥编码成其他东西并将它分成几部分，以使其难以解码，我分成四部分，您可以随心所欲：

解码您的 ApiKey

// getEncodedApiKey result encoded key,
// splitted into four the part
String thePartOne = "encodedPartOneMaybe";
String thePartTwo = "encodedPartNextMaybe";
String thePartThree = "encodedPartNextMaybe";
String thePartFour = "encodedPartLast";

public String getSplitedDecodedApiKey(){

    return new String(
            Base64.decode(
                    Base64.decode(
                                thePartOne +
                                    thePartTwo +
                                    thePartThree +
                                    thePartFour ,
                            Base64.DEFAULT),
                    Base64.DEFAULT));
}

编码您的 ApiKey

//just to encode the string before splitting it into the pieces
//and remove this method from the source code
public void getEncodedApiKey(){

    String plainApiKey = "xiosdflsghdfkj"; //
    String encodedApiKey = new String(
            Base64.encode(
                    Base64.encode(plainApiKey.getBytes(),
                            Base64.DEFAULT),
                    Base64.DEFAULT));
    Log.i(TAG, "getEncodedApiKey: " + encodedApiKey);
}

Answer 7

在我的情况下，在使用 google api 密钥初始化 Youtube Player 时，很长一段时间都遇到了同样的问题。

即使使用 SHA 和包名称限制 API 密钥，它也没有消失。

但是，在迁移到 androidX 后，Google Play 控制台中的安全警报消失了。

Answer 8

最好使用 firbase firestore 数据库来存储您的 api 密钥并访问它。 Firestore 作为 Google 的产品是安全且高度安全的。

并使用此代码访问它

mDatabase.collection(COLLECTION_NAME)
.document("DOCUMENT_NAME")
.get()
.addOnSuccessListener(new OnSuccessListener<DocumentSnapshot>() {
@Override
public void onSuccess(DocumentSnapshot documentSnapshot) {
Log.d(TAG, "google_places_api_key: " + documentSnapshot.get("google_places_api_key") + "");
}
});

此方法安全可靠，任何中间人攻击都不会访问您的 api 密钥，当然 play store 将允许此方法。