Điểm của khóa API javascript khi ai có thể xem mã js

Question

Tôi đã thấy các dịch vụ như Google yêu cầu bạn thêm khóa API khi thực hiện cuộc gọi javascript, như thế này.

https://www.google.com/jsapi?key=thekeygoeshere 

Điểm của khóa api javascript này khi mã có thể được xem và khóa có thể được đọc. Không ai có thể chỉ sao chép khóa này và sử dụng nó cho trang web của riêng họ? Hoặc có cái gì khác mà họ làm trong nền để đảm bảo rằng chìa khóa thuộc về trang web thực hiện cuộc gọi?

Answer 1

Có lẽ họ kiểm tra tiêu đề HTTP của người giới thiệu.

Đa số người dùng gửi. Vì vậy, nếu là:

• Trang web khớp với khóa, chúng có thể hoạt động như bình thường.
• Trang web không khớp với khóa, họ có thể từ chối yêu cầu.
• Trống, chúng có thể hoạt động như bình thường và cho phép một phần nhỏ người sử dụng API trên trang web sai.

Phần lớn khách truy cập vào trang web sử dụng khóa sai sẽ bị chặn, vì vậy sẽ không có giá trị khi sử dụng khóa sai trên trang web ngay từ đầu.

Answer 2

Mã google sẽ sử dụng AJAX hoặc một cái gì đó tương tự sẽ thực hiện cuộc gọi đến máy chủ của họ nêu chi tiết khóa của bạn và url của trang web đang được sử dụng. Sau đó, Google có thể kiểm tra xem trang web chính xác của nó cho khóa đó và ngừng mã hoạt động nếu không.

Mặc dù, API bản đồ dường như hoạt động trên bất kỳ trang web nào có khóa bất kỳ.