Как Карты Google защищают свой ключ API? Как сделать нечто подобное?

Я совершенно уверен, что они используют URL-адрес REFERER, чтобы определить, откуда исходит вызов. Если домен не соответствует тому, что назначено ключу, это недействительный запрос.

В качестве практического примера, используя PHP, вы можете проверить домен, используя $_SERVER['HTTP_REFERER'] для проверки реферера. Если домен совпадает, верните действительный ответ. В противном случае вы можете вернуть ответ 401 Unauthorized или другой ответ.

Сам ключ API, скорее всего, является односторонним хешем домена, с которым связан ключ, и секретом, о котором знает только сервер API Google. Он может содержать некоторые другие части общеизвестной (конечно, для Google) информации. Когда вы делаете запрос из этого домена, сервер API берет домен, из которого исходит запрос, выполняет тот же односторонний расчет хэша и сравнивает два значения.

Для вызовов Ajax они, скорее всего, используют реферер для получения домена узла документа. Хотя реферер может быть подделан, в конечном итоге, чтобы использовать API, вам нужно заставить Google javascript выполняться в документе. На этом этапе этот javascript может проверить, действительно ли документ, вызвавший вызов Ajax API, исходит от целевого сервера. Конечно, это тоже можно подделать, если у вас есть собственная реализация DOM или «на лету» модификация скрипта. Однако этот спуфинг должен происходить на стороне клиента, и вероятность того, что веб-сайт, который хочет использовать Google API, сможет подделать клиентское программное обеспечение, довольно мала.

Обратите внимание: поскольку API по сути бесплатный, они могли также предложить анонимный доступ к своему API. Очевидно, намерение Google состоит не в защите от несанкционированного доступа к нему, а в том, чтобы гарантировать, что они смогут собрать как можно больше данных об этом использовании данных и иметь возможность связать это использование с другими данными, которые они собрали о целевом домене. Таким образом, я бы не ожидал, что проверка ключа API будет намного сложнее, чем то, что я описал выше - рентабельность инвестиций при более продвинутом подходе слишком низкая.

И, конечно же, есть опасения по поводу возможных XSS-атак через их API. Но я не верю, что их API-ключ слишком сильно привязан к какому-либо анти-XSS-коду, который у них есть.

Как говорится в моем комментарии:

REFERER можно подделать, поэтому маловероятно, что Google будет использовать его в качестве средства проверки. См. эту запись в Википедии.

Я предполагаю, что Google, вероятно, использует IP-адрес вызывающего абонента вместе с поиском в DNS. DNS на самом деле нельзя подделать, так как ваши записи DNS должны быть правильными, чтобы веб-сайт даже мог добраться до вас.

Но даже у этого есть свои проблемы, потому что, если сервер использует настройку DNS с циклическим IP-адресом, Google будет перенаправлен на другой IP-адрес при выполнении поиска DNS.

Из FAQ

Обратите внимание, что ключ для http://www.mygooglemapssite.com/ будет принят только тогда, когда сайт доступ с этого адреса. Он не будет принят, если доступ к сайту осуществляется по IP-адресу (например, http://10.1.2.3/). или по имени хоста, имеющему псевдоним www.mygooglemapssite.com с использованием записи DNS CNAME.

Я предполагаю, что он может использовать заголовок Host, который отправляется при запросе страницы, который будет работать, как обычно, Google просит вас включить его скрипт API непосредственно на страницу. Затем этот сценарий получает доступ к заголовкам текущей страницы и может использовать их для проверки.

Мое предположение подтверждается тем фактом, что он не работает для IP-адресов или псевдонимов, что означает, что он не выполняет проверку DNS.

ЭТОТ метод нельзя подделать, так как для доступа к странице это должен быть правильный заголовок. Однако это означает, что любые псевдонимы для домена работать не будут.

Однако это также означает, что вы ДОЛЖНЫ предоставить библиотеку Javascript для доступа к коду, поскольку я считаю, что вы не можете проверить эту сторону сервера.

Я согласен со всеми пунктами, перечисленными Фрэнси Пеновым. Я хотел бы немного подробнее рассказать об использовании чужого ключа API. Предположим, вы зарегистрировали key1 в example.com.

1. Первая попытка Если anothersite.com имеет <script src="http://www.google.com/jsapi?key=key1">, Google может проверить его реферер (указана хэш-схема), и в этом случае есть несоответствие. Как злой злоумышленник преодолевает это, поскольку многие люди упоминали, что реферер может быть подделан? Здесь это не совсем применимо. Конечно, вы можете отправлять произвольные заголовки, если сделаете запрос, но как злой хакер подменяет реферер для пользователей на anothersite.com? Это вообще непросто. В IE 6 были старые версии flash, которые позволяли злоумышленнику устанавливать произвольные заголовки при выполнении междоменных запросов, но в целом это не работает для сценария src. Я не уверен, выполняет ли включенный Javascript какую-либо проверку document.location, чтобы предотвратить это (возможно, нет).

2. Вторая попытка Злоумышленник копирует Google Javascript для ключа API из источника страницы mysite.com, а затем встраивает модифицированный JavaScript в anothersite.com. Теперь Google ничего не может проверить (удаленный IP-адрес будет компьютером пользователя, и вы или Google мало что можете сделать).

Итак, если вы по какой-то причине хотите сохранить свой ключ API в секрете (одна из причин, злоумышленник может получить ваш ключ в черном списке / заблокирован), то не вставляйте ключ в запросы клиента и прокси через ваш сервер (код вашего приложения теперь имеет ключ).

Причина, по которой это работает, заключается в том, что вы не можете выполнять вызовы API с помощью javascript. Безопасность браузера не позволяет javascript делать запросы где-либо, кроме домена, из которого был создан javascript. Из-за этого любые вызовы API из javascript должны передаваться через ваш сервер, на котором хранится ключ API (ключ api никогда не виден javascript).