הנחיות אבטחה בפלטפורמה של מפות Google

כדי למנוע שימוש לא מורשה וחיובים לא מורשים באפליקציות ובפרויקטים שמשתמשים בערכות SDK ובממשקי API של הפלטפורמה של מפות Google, צריך להשתמש במפתחות API או ב-OAuth, אם האפשרות נתמכת. אם אתם משתמשים במפתחות API, הקפידו להגביל את מפתחות ה-API בזמן היצירה שלהם כדי לשפר את האבטחה. השיטות המומלצות הבאות מראות איך להגביל אותן.

בנוסף להחלת הגבלות על אפליקציות ומפתחות API, צריך לפעול לפי נוהלי האבטחה שרלוונטיים למוצרים ספציפיים של הפלטפורמה של מפות Google. לדוגמה, תוכלו לעיין ב-JavaScript API של מפות Google בהמשך בקטע הגבלות על אפליקציות וממשקי API מומלצים.

אם מפתחות ה-API כבר נמצאים בשימוש, כדאי לעיין בהמלצות שבהמשך בקטע אם אתם מגבילים או יוצרים מחדש מפתח API שנמצא בשימוש.

למידע נוסף על חתימות דיגיטליות, אפשר לעיין במדריך לחתימה דיגיטלית.

שיטות מומלצות

כדי להגביר את האבטחה וכדי להימנע מחיוב על שימוש לא מורשה, כדאי לפעול לפי השיטות המומלצות הבאות לאבטחת API לכל ממשקי ה-API, ערכות ה-SDK או השירותים של הפלטפורמה של מפות Google:

הגבלת מפתחות ה-API

שימוש במפתחות API נפרדים לכל אפליקציה

מחיקת מפתחות API שלא בשימוש

איך בודקים את השימוש במפתחות API

כדאי להיזהר כשיוצרים מחדש מפתחות API

המלצות נוספות לאתרים שמשתמשים בממשקי API סטטיים לאינטרנט

הגנה על אפליקציות באמצעות ממשקי API סטטיים לאינטרנט

המלצות נוספות לאפליקציות שמשתמשות בשירותי אינטרנט

הגנה על אפליקציות באמצעות שירותי אינטרנט

המלצות נוספות לאפליקציות לנייד ל-iOS ול-Android

הגנה על אפליקציות לנייד באמצעות שירותי אינטרנט או ממשקי API סטטיים לאינטרנט

אם אתם מגבילים או יוצרים מחדש מפתח API שנמצא בשימוש

  • לפני שמשנים את מפתח ה-API, בודקים את השימוש במפתח ה-API. השלב הזה חשוב במיוחד אם מוסיפים הגבלות אחרי השימוש במפתח.

  • אחרי שמשנים את המפתח, מעדכנים בכל האפליקציות את מפתחות ה-API החדשים לפי הצורך.

  • אם אין שימוש פעיל לרעה במפתח ה-API, אתם יכולים להעביר את האפליקציות למספר מפתחות API חדשים בקצב שלכם, ולהשאיר את מפתח ה-API המקורי ללא שינוי עד שתראו רק סוג אחד של תעבורת נתונים, שאליה תוכלו להגביל את מפתחות ה-API עם הגבלה על אפליקציה. להוראות נוספות, ראו העברה למספר מפתחות API.

    לעקוב אחרי השימוש לאורך זמן, ולראות מתי ממשקי API, פלטפורמות ודומיינים ספציפיים עברו ממפתח ה-API הישן, לפני שבוחרים להגביל או למחוק את המפתח הישן. למידע נוסף, ראו דיווח ומעקב ומדדים.

  • אם מפתח ה-API שלכם נחשף, כדאי לעבור מהר יותר כדי לאבטח את מפתח ה-API ולהפסיק את הניצול לרעה. באפליקציות ל-Android ול-iOS, המפתחות לא מוחלפים עד שהלקוחות מעדכנים את האפליקציות שלהם. הרבה יותר פשוט לעדכן או להחליף מפתחות ב-JavaScript או באפליקציות של שירותי אינטרנט, אבל עדיין יהיה צורך בתכנון קפדני ובעבודה מהירה.

    מידע נוסף זמין במאמר טיפול בשימוש לא מורשה במפתח API.

הגבלת מפתחות ה-API

השיטה המומלצת היא תמיד להגביל את מפתחות ה-API באמצעות הגבלת אפליקציות והגבלה אחת או יותר של ממשקי API. בקטע הגבלות על אפליקציות וממשקי API שבהמשך תוכלו למצוא הצעות להגבלות בהתאם לשירות ה-API, ה-SDK או שירות JavaScript.

  • הגבלת השימוש באפליקציות אפשר להגביל את השימוש במפתח API לפלטפורמות ספציפיות: אפליקציות ל-Android או ל-iOS, או אתרים ספציפיים לאפליקציות בצד הלקוח, או כתובות IP ספציפיות או רשתות משנה מסוג CIDR לאפליקציות בצד השרת שמבצעות קריאות ל-API ל-REST של שירותי אינטרנט.

    כדי להגביל מפתח, מוסיפים הגבלה אחת או יותר על אפליקציות מהסוגים שרוצים לאשר. בסיום התקופה הזו מותרות רק בקשות שמגיעות מהמקורות האלה.

  • הגבלות על ממשקי API אפשר להגביל את ערכות ה-SDK, השירותים או ממשקי ה-API של הפלטפורמה של מפות Google שבהם אפשר להשתמש במפתח ה-API. הגבלות על ממשקי API מאפשרות רק בקשות לממשקי ה-API ולערכות ה-SDK שציינתם. אפשר לציין מספר הגבלות על ממשקי API לכל מפתח API נתון. רשימת ממשקי ה-API הזמינים כוללת את כל ממשקי ה-API שהופעלו בפרויקט.

הגדרת הגבלה על אפליקציות למפתח API

  1. פותחים את הדף Google Maps Platform Credentials במסוף Google Cloud.

  2. בוחרים את מפתח ה-API שרוצים להגביל.

  3. בדף Edit API key, בקטע Key restrictions, בוחרים באפשרות Set an application limit.

    עריכת הדף של מפתח API

  4. בוחרים את אחד מסוגי ההגבלות ומוסיפים את המידע המבוקש בהתאם לרשימת ההגבלות.

    סוג ההגבלה תיאור
    אתרים מציינים אתר מפנה אחד או יותר.
    • סכימות ה-URI של הגורם המפנה שנתמכות באופן אוניברסלי הן https ו-http.
    • צריך תמיד לספק את ה-URI המלא של הגורם המפנה, כולל סכימת הפרוטוקול, שם המארח והיציאה האופציונלית (למשל, https://google.com).
    • אפשר להשתמש בתווים כלליים לחיפוש כדי לאשר את כל תת-הדומיינים. לדוגמה, https://*.google.com מקבל את כל האתרים שמסתיימים ב-.google.com. לתשומת ליבכם: אם מציינים את הכתובת www.domain.com, הוא ישמש כתו כללי לחיפוש www.domain.com/* ומאשר כל נתיב משנה בשם המארח הזה.
    • צריך להיזהר כשמעניקים להפניות בנתיב מלא, למשל https://google.com/some/path, כי כברירת מחדל, רוב הדפדפנים הנוכחיים מסירים את הנתיב מבקשות ממקורות שונים.
    כתובות IP צריך לציין כתובת IPv4 או IPv6 אחת או יותר, או רשת משנה אחת באמצעות סימון CIDR. כתובות ה-IP חייבות להתאים לכתובת המקור שמוצגת בשרתים של הפלטפורמה של מפות Google. אם משתמשים בתרגום כתובת רשת (NAT), הכתובת הזו בדרך כלל תואמת לכתובת ה-IP הציבורית של המחשב שלכם.
    אפליקציות ל-Android מוסיפים את שם החבילה של Android (מהקובץ AndroidManifest.xml) ואת טביעת האצבע לאישור חתימת SHA-1 של כל אפליקציית Android שרוצים לתת לה הרשאה. אם משתמשים בחתימת אפליקציה ב-Play, כדי לאחזר את טביעת האצבע לאישור החתימה, ראו עבודה עם ספקי API. אם אתם מנהלים מפתח חתימה משלכם, תוכלו לעיין במאמר חתימה עצמית על האפליקציה או לעיין בהוראות שרלוונטיות לסביבת ה-build שלכם.
    אפליקציות ל-iOS צריך להוסיף את מזהה החבילה של כל אפליקציית iOS שרוצים לאשר.

    במאמר הגבלות על אפליקציות מומלצות תוכלו לקרוא המלצות נוספות.

  5. לוחצים על שמירה.

הגדרת הגבלות על ממשקי API למפתח API

  1. פותחים את הדף Google Maps Platform Credentials במסוף Google Cloud.

  2. בוחרים את מפתח ה-API שרוצים להגביל.

  3. בקטע הגבלות על ממשקי API, בדף Edit API key:

    • בוחרים באפשרות Restrict key.

    • פותחים את Select APIs ובוחרים את ממשקי ה-API או ערכות ה-SDK שאליהם האפליקציה תיגש באמצעות מפתח ה-API.

      אם API או SDK לא מופיעים ברשימה, צריך להפעיל אותם. מידע נוסף מופיע במאמר הפעלה של ערכת API או SDK אחת או יותר.

    הגבלת API בדף Edit API key

  4. לוחצים על שמירה.

    אחרי השלב הזה ההגבלה תהפוך לחלק מההגדרה של מפתח ה-API. מקפידים לספק את הפרטים המתאימים ולבחור באפשרות Save כדי לשמור את ההגבלות על מפתחות ה-API. מידע נוסף זמין במדריך קבלת מפתח API במאמרי העזרה של ה-API או ה-SDK הספציפיים שמעניינים אתכם.

במאמר הגבלות מומלצות על ממשקי API תוכלו לקרוא על ההגבלות המומלצות על ממשקי API.

איך בודקים את השימוש במפתח API

אם אתם מגבילים את מפתחות ה-API אחרי שיוצרים אותם, או רוצים לראות באילו ממשקי API נעשה שימוש במפתח כדי להגביל אותם, מומלץ לבדוק את השימוש במפתחות API. השלבים הבאים מראים באילו שירותים ושיטות API נעשה שימוש במפתח API. אם זיהית שימוש כלשהו מעבר לשירותי הפלטפורמה של מפות Google, צריך לבדוק אם צריך להוסיף עוד הגבלות כדי להימנע משימוש לא רצוי. אפשר להשתמש בסייר המדדים במסוף Cloud של הפלטפורמה של מפות Google כדי לקבוע אילו הגבלות על ממשקי ה-API והאפליקציות להחיל על מפתח ה-API:

קביעת ממשקי ה-API שמשתמשים במפתח ה-API

דוחות המדדים הבאים מאפשרים לכם לקבוע אילו ממשקי API משתמשים במפתחות ה-API שלכם. תוכלו להשתמש בדוחות האלה כדי לבצע את הפעולות הבאות:

  • איך אנחנו משתמשים במפתחות ה-API שלכם
  • שימוש לא צפוי של Spot
  • לעזור לנו לבדוק אם אפשר למחוק מפתח שלא נמצא בשימוש. מידע נוסף על מחיקת מפתח API מופיע במאמר מחיקת מפתחות API שלא בשימוש.

כשמחילים הגבלות על ממשקי API, כדאי להשתמש בדוחות האלה כדי ליצור רשימה של ממשקי API למתן הרשאה, או כדי לאמת המלצות שנוצרות באופן אוטומטי להגבלת מפתחות API. מידע נוסף על הגבלות מומלצות זמין במאמר החלת הגבלות מומלצות. מידע נוסף על השימוש ב-Metrics Explorer מופיע במאמר יצירת תרשימים באמצעות Metrics explorer.

  1. נכנסים לMetrics Explorer במסוף Google Cloud.

  2. מתחברים ובוחרים את הפרויקט של מפתחות ה-API שרוצים לבדוק.

  3. נכנסים לדף Metrics explorer לפי סוג ה-API:

    • למפתחות API שמשתמשים בכל ממשק API, חוץ מ-Maps Embed API: נכנסים לדף Metrics explorer.

    • למפתחות API באמצעות Maps Embed API: נכנסים לדף Metrics Explorer.

  4. בודקים כל מפתח API:

    1. בוחרים באפשרות הוספת מסנן.

    2. בוחרים את התווית credential_id.

    3. בוחרים את הערך שתואם למפתח שרוצים לבדוק.

    4. חשוב לשים לב לאילו ממשקי API מפתח ה-API הזה משמש, ולוודא שהשימוש צפוי.

    5. אחרי שמסיימים, בוחרים באפשרות Remove filter (הסרת מסנן) בסוף השורה של המסנן הפעיל כדי למחוק את המסנן הנוסף.

  5. חוזרים על הפעולה עבור כל המפתחות שנותרו.

  6. הגבלת מפתחות ה-API רק לממשקי ה-API שמשתמשים בהם.

  7. אם מזהים שימוש לא מורשה, אפשר לקרוא את המאמר טיפול בשימוש לא מורשה במפתח API.

בחירת הסוג הנכון של הגבלת האפליקציות באמצעות סייר המדדים

אחרי שמוודאים שמפתח ה-API משמש רק את שירותי הפלטפורמה של מפות Google שבהם הוא משתמש, צריך לוודא שלמפתח ה-API יש הגבלות נכונות על האפליקציות.

אם למפתח ה-API שלכם יש הגבלות מומלצות על מפתחות API, צריך להחיל אותן. מידע נוסף זמין במאמר החלת הגבלות מומלצות על מפתחות API.

אם למפתח ה-API שלכם אין המלצות להגבלה, תוכלו לקבוע את סוג ההגבלה שצריך להחיל על האפליקציה בהתאם ל-platform_type המדווח באמצעות Metrics Explorer.

  1. נכנסים לMetrics Explorer במסוף Google Cloud.

  2. מתחברים ובוחרים את הפרויקט של ממשקי ה-API שרוצים לבדוק.

  3. נכנסים לדף הזה של Metrics explorer: ניתוח מדדים.

  4. בודקים כל מפתח API:

    1. בוחרים באפשרות הוספת מסנן.

    2. בוחרים את התווית credential_id.

    3. בוחרים את הערך שתואם למפתח שרוצים לבדוק.

    4. אחרי שמסיימים, בוחרים באפשרות Remove filter (הסרת מסנן) בסוף השורה של המסנן הפעיל כדי למחוק את המסנן הנוסף.

  5. חוזרים על הפעולה עבור כל המפתחות שנותרו.

  6. אחרי שמקבלים את סוג הפלטפורמה למפתחות ה-API, צריך להחיל את הגבלת האפליקציה על platform_type:

    PLATFORM_TYPE_JS
    להחיל הגבלות אתרים על המפתח.
    PLATFORM_TYPE_ANDROID
    להחיל הגבלות על אפליקציות ל-Android על המפתח.
    PLATFORM_TYPE_IOS
    להחיל הגבלות על אפליקציות ל-iOS על המפתח.
    PLATFORM_TYPE_WEBSERVICE
    יכול להיות שתצטרכו להסתמך על הגבלות על כתובות ה-IP במפתח, כדי להגביל אותו כראוי. לאפשרויות נוספות של Maps Static API ול-Street View Static API, ראו הגנה על אפליקציות באמצעות ממשקי API סטטיים באינטרנט. להוראות נוספות לגבי Maps Embed API, ראו אתרים עם Maps Embed API.
    מפתח ה-API שלי משתמש בכמה סוגי פלטפורמות
    אי אפשר לאבטח כראוי את תנועת הגולשים באמצעות מפתח API אחד בלבד. אתם צריכים לעבור למפתחות API מרובים. מידע נוסף מופיע במאמר העברה למספר מפתחות API.

שימוש במפתחות API נפרדים לכל אפליקציה

התרגול הזה מגביל את ההיקף של כל מפתח. אם מפתח API אחד נפרץ, אתם יכולים למחוק או ליצור מחדש את המפתח המושפע בלי לעדכן את מפתחות ה-API האחרים. בכל פרויקט ניתן ליצור עד 300 מפתחות API. למידע נוסף, ראו מגבלות על מפתחות API.

מפתח API אחד לכל אפליקציה הוא אידיאלי למטרות אבטחה, אבל אפשר להשתמש במפתחות מוגבלים בכמה אפליקציות כל עוד הם משתמשים באותו סוג של הגבלת אפליקציה.

החלת הגבלות מומלצות על מפתחות API

לחלק מהבעלים והעורכים של הפרויקטים, מסוף Google Cloud מציע הגבלות ספציפיות למפתחות API על מפתחות API לא מוגבלים, על סמך השימוש והפעילות שלהם בפלטפורמה של מפות Google.

אם ההמלצות זמינות, הן מופיעות כאפשרויות שמולאו מראש בדף Google Maps Platform Credentials.

סיבות אפשריות לכך שלא רואים המלצה או המלצה חלקית

  • אתם (גם) משתמשים במפתח ה-API בשירותים אחרים של הפלטפורמה של מפות Google. אם רואים שימוש בשירותים אחרים, אל תיישמו את ההמלצה בלי קודם לבצע את הפעולות הבאות:

    1. עליכם לוודא שהשימוש ב-API שאתם רואים בסייר המדדים במסוף Google Cloud הוא לגיטימי.

    2. מוסיפים באופן ידני שירותים חסרים לרשימת ממשקי ה-API שרוצים לקבל הרשאה.

    3. מוסיפים באופן ידני את כל ההגבלות על אפליקציות חסרות לשירותים שנוספו לרשימת ממשקי ה-API. אם סוג אחר של הגבלות על אפליקציות נוסף ידרוש סוג אחר של הגבלות על אפליקציות, עיינו במאמר העברה למפתחות API מרובים.

  • לא נעשה שימוש במפתח ה-API שלכם בערכות SDK או בממשקי API בצד הלקוח.

  • אתם משתמשים במפתח ה-API באפליקציה או באתר עם נפח קטן שלא היה בהם שימוש ב-60 הימים האחרונים.

  • יצרתם מפתח חדש ממש לאחרונה, או שלאחרונה פרסתם מפתח קיים באפליקציה חדשה. במקרה כזה, צריך להמתין עוד כמה ימים כדי לאפשר עדכון של ההמלצות.

  • אתם משתמשים במפתח ה-API במספר אפליקציות שיחייבו שימוש בסוגים מתנגשים של הגבלות על אפליקציות, או שאתם משתמשים באותו מפתח API ביותר מדי אפליקציות או אתרים שונים. בכל מקרה, השיטה המומלצת היא לעבור לכמה מפתחות. תוכלו לקרוא פרטים נוספים במאמר העברה למספר מפתחות API.

סיבות להצגת המלצות שלא מוצגות בתרשימים

  • האפליקציה או האתר שלך שלחו רק פרצי תנועה קצרים מאוד. במקרה כזה, עוברים מתצוגת CHART כדי להציג TABLE או BOTH, כי השימוש עדיין מופיע במקרא. מידע נוסף מופיע במאמר החלפת המקרא של כל התרשים.

  • תנועת הגולשים מגיעה מ-Maps Embed API. להוראות, ראו איך לקבוע אילו ממשקי API משתמשים במפתח ה-API.

  • תעבורת הנתונים מהאפליקציה או מהאתר נמצאת מחוץ לטווח התאריכים שזמין ב-Metrics Explorer במסוף Google Cloud.

  1. פותחים את הדף Google Maps Platform Credentials במסוף Google Cloud.

  2. אם האפשרות זמינה, בוחרים באפשרות החלת הגבלות מומלצות.

    החלת ההגבלות המומלצות

    הערה: אם לא מופיעות הגבלות מומלצות, אפשר לעיין במאמר הגדרת הגבלות על ממשקי API למפתח API כדי להגדיר את ההגבלות המתאימות.

  3. בוחרים באפשרות Check API כדי לבדוק באילו שירותים נעשה שימוש במפתח ה-API. אם מופיעים שירותים אחרים מהפלטפורמה של מפות Google, אפשר להשהות כדי לבדוק באופן ידני את שלבי ההמלצה שלמעלה. השלבים לפתרון בעיות מופיעים בתחילת הקטע החלת הגבלות מומלצות על מפתחות API.

  4. כדאי לוודא שההגבלות שמולאו מראש תואמות לאתרים ולאפליקציות שבהם אתם מצפים להשתמש במפתח ה-API.

    שיטה מומלצת: כדאי לתעד ולהסיר הגבלות על אפליקציות או ממשקי API שלא משויכות לשירותים שלכם. אם משהו משתבש בגלל תלות לא צפויה, תוכלו להוסיף בחזרה את האפליקציות או את ממשקי ה-API הנדרשים.

    • אם אתם מזהים שאפליקציה, אתר או API חסרים בבירור בהמלצה, כדאי להוסיף אותם באופן ידני או להמתין מספר ימים כדי לאפשר עדכון של ההמלצה.

    • אם אתם צריכים עזרה נוספת בנוגע להמלצה שאתם מציעים, תוכלו לפנות לתמיכה.

  5. בחר הפעל.

מה לעשות אם הבקשה נדחית לאחר יישום המלצה

אם לאחר החלת הגבלה אפליקציה או אתר כלשהו נדחו, אתם צריכים לחפש את ההגבלה על האפליקציה שצריך להוסיף בהודעת השגיאה של תגובת ה-API.

לגבי ערכות SDK בצד הלקוח:

כדי לבדוק את מגבלות ה-API הנדרשות, קראו את המאמר איך יודעים אילו ממשקי API משתמשים במפתח ה-API שלכם.

אם לא ניתן לקבוע אילו הגבלות להחיל:

  1. מתעדים את ההגבלות הנוכחיות לשימוש עתידי.
  2. מומלץ להסיר אותן באופן זמני במהלך בדיקת הבעיה. תוכלו להיעזר בהוראות שבמאמר בדיקת השימוש במפתח API כדי לבדוק את השימוש שלכם לאורך זמן.
  3. במקרה הצורך, אפשר לפנות לתמיכה.

מחיקת מפתחות API שלא בשימוש

לפני שמוחקים מפתח API, צריך לוודא שלא משתמשים בו בסביבת הייצור. אם אין תעבורת נתונים מוצלחת, סביר להניח שהמפתח יימחק. מידע נוסף זמין במאמר איך בודקים את השימוש במפתח API.

כדי למחוק מפתח API:

  1. פותחים את הדף Google Maps Platform Credentials במסוף Google Cloud.

  2. בוחרים את מפתח ה-API שרוצים למחוק.

  3. לוחצים על הלחצן מחיקה בחלק העליון של הדף.

  4. בדף Delete credential (מחיקת פרטי כניסה), בוחרים באפשרות Delete (מחיקה).

    המחיקה של מפתח API נמשכת כמה דקות. בסיום ההפצה, כל תעבורת הנתונים שמשתמשת במפתח ה-API שנמחק נדחית.

כדאי להיזהר כשיוצרים מחדש את מפתחות ה-API

יצירה מחדש של מפתח API יוצרת מפתח חדש עם כל ההגבלות של המפתח הישן. התהליך הזה מתחיל גם טיימר של 24 שעות, שאחריו מפתח ה-API הישן נמחק.

במהלך חלון הזמן הזה, גם המפתח הישן וגם המפתח החדש יתקבלו, כך שתוכלו להעביר את האפליקציות שלכם לשימוש במפתח החדש. אבל בתום פרק הזמן הזה, כל האפליקציות שעדיין משתמשות במפתח ה-API הישן יפסיקו לפעול.

לפני יצירה מחדש של מפתח API:

  • קודם כל נסו להגביל את מפתחות ה-API כפי שמתואר במאמר הגבלת מפתחות ה-API.

  • אם אי אפשר להגביל את מפתח ה-API בגלל סוגים מתנגשים של הגבלות על אפליקציות, עוברים למספר מפתחות חדשים (מוגבלים), כפי שמתואר במאמר העברה למפתחות API מרובים. ההעברה מאפשרת לכם לשלוט בהעברה ולהשקת ציר זמן למפתחות ה-API החדשים.

אם ההצעות הקודמות לא אפשריות ואתם צריכים ליצור מחדש את מפתח ה-API כדי למנוע שימוש לא מורשה, עליכם לפעול לפי השלבים הבאים:

  1. פותחים את הדף Google Maps Platform Credentials במסוף Google Cloud.

  2. פותחים את מפתח ה-API שרוצים ליצור מחדש.

  3. בחלק העליון של הדף, בוחרים באפשרות Regenerate key.

  4. בוחרים באפשרות החלפת מקש.

הערה: במקרה הצורך, אפשר להחזיר למצב קודם כל מפתח שנוצר מחדש לגרסה הקודמת שלו. אין מגבלות זמן להחזרה למצב קודם.

כדי להחזיר מפתח שנוצר מחדש

  1. פותחים את הדף Google Maps Platform Credentials במסוף Google Cloud.

  2. פותחים את מפתח ה-API שרוצים להחזיר לגרסה הקודמת.

  3. בוחרים באפשרות חזרה למפתח הקודם.

  4. בתיבת הדו-שיח חזרה לגרסה המקורית, בוחרים באפשרות חזרה לגרסה המקורית.

אחרי החזרה לגרסה הקודמת, הגרסה ה "חדשה" הקודמת של המפתח הופכת לגרסה הקודמת, ומוגדר לה טיימר חדש להשבתה למשך 24 שעות. אפשר לבצע המרה חזרה בין שני ערכי המפתח האלה עד שתיצרו אותו מחדש.

אם תיצרו מחדש את המפתח, הוא יחליף את הערך הישן של המפתח הלא פעיל.

העברה למספר מפתחות API

כדי לעבור משימוש במפתח API אחד לכמה אפליקציות למפתח API ייחודי יחיד לכל אפליקציה:

  1. זיהוי האפליקציות שזקוקות למפתחות חדשים:

    • הכי קל לעדכן אפליקציות אינטרנט, כי אתם שולטים בכל הקוד. כדאי לתכנן לעדכן את כל המפתחות של האפליקציות מבוססות האינטרנט.
    • האפליקציות לנייד הן הרבה יותר מסובכות, כי הלקוחות שלכם צריכים לעדכן את האפליקציות שלהם כדי שאפשר יהיה להשתמש במפתחות החדשים.
  2. יצירה והגבלה של המפתחות החדשים: מוסיפים הגבלה על אפליקציות ולפחות הגבלה אחת על API. מידע נוסף זמין במאמר שיטות מומלצות.

  3. הוספת המפתחות החדשים לאפליקציות: באפליקציות לנייד, התהליך עשוי להימשך חודשים עד שכל המשתמשים יעדכנו לאפליקציה העדכנית עם מפתח ה-API החדש.

הגנה על אפליקציות באמצעות ממשקי API סטטיים לאינטרנט

ממשקי API סטטיים באינטרנט, כמו ה-API הסטטי של מפות Google ו-Street View Static API, דומים לקריאות ל-API של שירותי אינטרנט.

שולחים קריאה גם באמצעות API פשוט ל-REST ב-HTTPS, ובדרך כלל יוצרים את כתובת ה-URL של בקשת ה-API בשרת. עם זאת, במקום להחזיר תגובת JSON, ממשקי ה-API הסטטיים באינטרנט יוצרים תמונה שאפשר להטמיע בקוד ה-HTML שנוצר. ועוד יותר חשוב, בדרך כלל הלקוח של משתמש הקצה, ולא השרת, שקורא לשירות הפלטפורמה של מפות Google.

שימוש בחתימה דיגיטלית

השיטה המומלצת היא להשתמש תמיד בחתימות דיגיטליות בנוסף למפתח API. בנוסף, צריך לבדוק כמה בקשות לא חתומות אתם רוצים לאפשר ביום ולשנות את המכסות של הבקשות הלא חתומות בהתאם.

למידע נוסף על חתימות דיגיטליות, אפשר לעיין במדריך לחתימה דיגיטלית.

הגן על סוד החתימה שלך

כדי להגן על ממשקי API סטטיים לאינטרנט, אל תטמיעו את סודות החתימה של ה-API ישירות בקוד או בעץ המקור, ואל תחשוף אותם באפליקציות בצד הלקוח. השיטות המומלצות הבאות להגנה על סודות החתימה שלכם:

  • חותמים על הבקשות בצד השרת, לא על הלקוח. אם תבצעו את החתימה בצד הלקוח ב-JavaScript, היא תחשוף אותו לכל מי שמבקר באתר. לכן, בתמונות שנוצרות באופן דינמי, תמיד צריך ליצור את כתובות ה-URL של הבקשות החתומות של ה-API הסטטי של מפות Google ושל Street View Static API בצד השרת של דף האינטרנט. לתוכן סטטי באינטרנט, אפשר להשתמש בווידג'ט Sign a URL now (חתימה על כתובת URL) בדף Credentials במסוף Cloud של מפות Google.

  • אחסון סודות חתימה מחוץ לקוד המקור ולעץ המקור של האפליקציה. אם אתם שומרים את סודות החתימה או כל מידע פרטי אחר במשתני סביבה, או כוללים קבצים שמאוחסנים בנפרד ואז משתפים את הקוד, הסודות של החתימה לא נכללים בקבצים המשותפים. אם אתם מאחסנים סודות חתימה או כל מידע פרטי אחר בקבצים, משאירים את הקבצים מחוץ לעץ המקור של האפליקציה כדי לשמור על סודות החתימה שלכם ממערכת בקרת קוד המקור. אמצעי הזהירות הזה חשוב במיוחד אם משתמשים במערכת ציבורית לניהול קוד מקור, כמו GitHub.

הגנה על מפתח ה-API באפליקציות באמצעות שירותי אינטרנט

אחסון מפתחות API מחוץ לקוד המקור או לעץ המקור של האפליקציה אם מעבירים את מפתחות ה-API או כל מידע אחר במשתני סביבה, או כוללים קבצים שמאוחסנים בנפרד ואז משתפים את הקוד, מפתחות ה-API לא נכללים בקבצים המשותפים. זה חשוב במיוחד אם אתם משתמשים במערכת ציבורית לניהול קוד מקור, כמו GitHub.

הגנה על מפתח ה-API והסוד לחתימה באפליקציות לנייד באמצעות שירותי אינטרנט או ממשקי API סטטיים לאינטרנט

כדי להגן על אפליקציות לנייד, צריך להשתמש במאגר מפתחות מאובטח או בשרת proxy מאובטח:

  • אחסון מפתח ה-API או סוד החתימה במאגר מפתחות מאובטח בשלב הזה קשה יותר להעתיק מפתחות API ונתונים פרטיים אחרים ישירות מהאפליקציה.

  • שימוש בשרת proxy מאובטח. שרת ה-proxy מספק מקור יציב לאינטראקציה עם ממשק ה-API המתאים של הפלטפורמה של מפות Google. למידע נוסף על השימוש בשרת proxy, ראו Living Vicarious: שימוש בשרתי proxy עם ספריות הלקוח של Google Data API.

    • בונים את הבקשות בפלטפורמה של מפות Google בשרת ה-proxy. לא לאפשר ללקוחות להעביר קריאות שרירותיות ל-API דרך שרת ה-proxy.

    • אחרי עיבוד התגובות של הפלטפורמה של מפות Google בשרת ה-proxy שלכם. מסננים נתונים שהלקוח לא צריך.

טיפול בשימוש לא מורשה במפתח API

אם מזהים שימוש לא מורשה במפתח ה-API, צריך לבצע את הפעולות הבאות כדי לטפל בבעיה:

  1. הגבלת המפתחות: אם השתמשתם באותו מפתח בכמה אפליקציות, תוכלו לעבור למספר מפתחות API ולהשתמש במפתחות API נפרדים לכל אפליקציה. פרטים נוספים זמינים במאמרים:

  2. רק יוצרים מחדש מפתחות אם לא ניתן להגביל אותם. קוראים את הקטע זהירות כשיוצרים מחדש מפתחות API לפני שממשיכים.

  3. אם אתם עדיין נתקלים בבעיות או צריכים עזרה, תוכלו לפנות לתמיכה.

הגבלות מומלצות על אפליקציות וממשקי API

בקטעים הבאים מפורטות הצעות להגבלות מתאימות על אפליקציות וממשקי API לכל אחד מה-API, ה-SDK או השירותים של הפלטפורמה של מפות Google.

הגבלות מומלצות לשימוש ב-API

ההנחיות הבאות בנושא הגבלות API חלות על כל הפלטפורמה של מפות Google:

  • צריך להגביל את מפתח ה-API רק לממשקי ה-API שעבורו אתם משתמשים בו, למעט במקרים הבאים:

    • אם האפליקציה שלך משתמשת ב-Places SDK ל-Android או ב-Places SDK ל-iOS, צריך לאשר את Places API.

    • אם האפליקציה שלכם משתמשת ב-Maps JavaScript API, תמיד צריך לאשר אותו במפתח.

    • אם אתם משתמשים גם באחד מהשירותים הבאים של Maps JavaScript API, אתם צריכים גם לאשר את ממשקי ה-API הבאים:

    שירות הגבלת API
    שירות מסלולים, Maps JavaScript API Directions API
    שירות מטריצת מרחקים, Maps JavaScript API Distance Matrix API
    שירות גובה, Maps JavaScript API Elevation API
    שירות המרת כתובות לקואורדינטות (geocoding)‏, Maps JavaScript API Geocoding API
    ספריית מקומות, Maps JavaScript API Places API

דוגמאות:

  • אתם משתמשים ב-SDK של מפות ל-Android וב-Places SDK ל-Android, ולכן כוללים את ה-SDK של מפות ל-Android ואת ה-Places API כהגבלות על ה-API.

  • האתר שלכם משתמש ב- Maps JavaScript API של מפות Google, וב-Maps Static API, כך שאתם מוסיפים הגבלות על ממשקי API לכל ממשקי ה-API הבאים:

    • Maps JavaScript API
    • Elevation API
    • Maps Static API

הגבלה מומלצת של האפליקציה

אתרים עם Maps JavaScript API או Static Web API

באתרים שמשתמשים בשירותי JavaScript של מפות Google או בממשקי Static Web API, צריך להשתמש בהגבלת האפליקציה Websites.

משמש לאתרים שמשתמשים בשירותי JavaScript וממשקי ה-API הבאים:

1 לאפליקציות לנייד, כדאי להשתמש ב-SDK של מפות Google ל-Android וב-SDK של מפות ל-iOS.

2 קראו גם את המאמר הגנה על אפליקציות לנייד באמצעות שירותי אינטרנט או ממשקי API סטטיים באינטרנט.

אתרים עם Maps Embed API

גם שהשימוש ב-Maps Embed API הוא בחינם, אבל עדיין צריך להגביל כל מפתח API שנמצא בשימוש כדי למנוע ניצול לרעה של שירותים אחרים.

השיטה המומלצת: כדאי ליצור מפתח API נפרד לשימוש ב-Maps Embed API, ולהגביל את המפתח הזה רק ל-Maps Embed API. ההגבלה הזו מאבטחת מספיק את המפתח, ומונעת שימוש לא מורשה במפתח בכל שירות אחר של Google.

אם לא ניתן להפריד את השימוש ב-Maps Embed API למפתח API נפרד, צריך לאבטח את המפתח באמצעות הגבלת האפליקציה Websites.

אפליקציות ושרתים שמשתמשים בשירותי אינטרנט

לאפליקציות ולשרתים שמשתמשים בשירותי אינטרנט, צריך להשתמש בהגבלת האפליקציות IP addresses.

משמש לאפליקציות ולשרתים שמשתמשים בממשקי ה-API האלה:

3 לאפליקציות לנייד, כדאי להשתמש ב-Places SDK ל-Android וב-Places SDK ל-iOS.

אפליקציות ל-Android

לאפליקציות ב-Android, צריך להשתמש בהגבלת האפליקציה Android apps. משמש לאפליקציות ושרתים שמשתמשים בערכות ה-SDK הבאות:

בנוסף, כדי למנוע בדיקה בטעות של מפתחות API לניהול הגרסאות, משתמשים בפלאגין של Secrets Gradle כדי להחדיר סודות מקובץ מקומי, במקום לאחסן אותם במניפסט של Android.

אפליקציות ל-iOS

לאפליקציות ב-iOS, צריך להשתמש בהגבלת האפליקציות, iOS apps. משמש לאפליקציות ושרתים שמשתמשים בערכות ה-SDK הבאות: