保护数据KEY

KEY是获取和风天气数据的重要敏感信息,你有责任妥善保管,避免泄露KEY而造成的损失,在这里介绍几种保护KEY的方式:

使用HTTPS

从2014年开始,我们的API就支持了HTTPS加密访问,在2016年底,我们关闭了所有非HTTPS的访问。使用HTTPS可以有效的阻止请求中的敏感信息被泄露,请不要跳过HTTPS的保护。

使用加密签名认证

使用加密签名的方式进行认证,这样即使他人抓取到了你的请求信息,也很难获得更多有价值的内容。

为每个产品创建不同的KEY

我们支持创建多个KEY和项目,因此不要把鸡蛋都放在一个篮子里,对于不同的产品或者同一产品的不同平台,应该创建不同KEY进行使用,例如你要做一个款关于旅游的项目,可以为iOS、Android、小程序和网站创建不同的KEY。

更改KEY

如果你认为你的KEY已经泄露或者怀疑泄露,你可以新建一个KEY,然后升级你的程序,测试并确保程序都运行在新的KEY,最后删除旧的KEY。

在服务端保存KEY

在服务端存储KEY,再通过服务端发送到前端需要展示的天气数据,这样他人就无法在前端中抓取到你的KEY。

混淆或加密KEY

如果不可避免的在前端中存储KEY,那么也可以通过混淆或加密代码的方式,再配合不定期的更改KEY,从而让他人获取这些数据更加困难。

不要在代码中共享

在开发过程中,不可避免的会与其他人共享你的代码,因此将KEY存储在环境变量或独立的文件中,则可以有效的避免代码共享时泄露你的KEY。如果你的代码会发布在公共源代码管理系统时(例如Github),请确保存储KEY的文件包含在.gitignore或其他类似功能的配置文件中,换句话说,让KEY不要保留在源代码管理系统中。