این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

راهنمای امنیتی پلتفرم نقشه های گوگل

برنامه‌ها و پروژه‌هایی که از APIها و SDKهای پلتفرم Google Maps استفاده می‌کنند باید از کلیدهای API یا در صورت پشتیبانی از OAuth 2.0 برای احراز هویت استفاده کنند. برای جلوگیری از استفاده غیرمجاز، کلیدهای API را محدود کنید. شما مسئول هزینه های ناشی از سوء استفاده از کلیدهای نامحدود API هستید.

این بهترین شیوه ها به شما نشان می دهد که چگونه آنها را محدود کنید.

علاوه بر اعمال محدودیت‌های کلیدی برنامه‌ها و API، هر گونه اقدامات امنیتی را که برای محصولات خاص پلتفرم Google Maps اعمال می‌شود، دنبال کنید. برای مثال، Maps JavaScript API زیر را در برنامه‌های توصیه‌شده و محدودیت‌های API ببینید.

اگر کلیدهای API شما از قبل در حال استفاده هستند، توصیه‌های زیر را در قسمت اگر در حال محدود کردن یا ایجاد مجدد کلید API در حال استفاده هستید، مرور کنید.

برای جزئیات بیشتر در مورد امضای دیجیتال، راهنمای امضای دیجیتال را ببینید.

بهترین شیوه های توصیه شده

برای افزایش امنیت و جلوگیری از دریافت صورت‌حساب برای استفاده غیرمجاز، این بهترین شیوه‌های امنیتی API را برای همه APIها، SDKها یا سرویس‌های پلتفرم Google Maps دنبال کنید:

اگر یک کلید API در حال استفاده را محدود یا بازسازی می کنید

قبل از اینکه کلید API را تغییر دهید، میزان استفاده از کلید API خود را بررسی کنید این مرحله به ویژه در صورتی مهم است که بعد از استفاده از کلید محدودیت هایی اضافه کنید.
بعد از اینکه کلید را تغییر دادید، در صورت نیاز، تمام برنامه های خود را با کلیدهای API جدید به روز کنید.
اگر هیچ سوء استفاده فعالی از کلید API شما وجود نداشته باشد، می‌توانید برنامه‌های خود را با سرعت دلخواه خود به چندین کلید API جدید منتقل کنید و کلید API اصلی را دست نخورده باقی بگذارید تا زمانی که فقط یک نوع ترافیک را مشاهده کنید، که سپس می‌توانید کلیدهای API را با محدودیت برنامه محدود کنید. برای دستورالعمل‌های بیشتر، به انتقال به چند کلید API مراجعه کنید.
قبل از اینکه بخواهید کلید قدیمی را محدود یا حذف کنید، استفاده را در طول زمان نظارت کنید و ببینید چه زمانی APIهای خاص، انواع پلتفرم و دامنه‌ها از کلید API قدیمی خارج شده‌اند. برای اطلاعات بیشتر، به گزارش و نظارت و معیارها مراجعه کنید
اگر کلید API شما به خطر افتاده است، می‌خواهید سریع‌تر حرکت کنید تا کلید API خود را ایمن کنید و سوء استفاده را متوقف کنید. در برنامه‌های Android و iOS، تا زمانی که مشتریان برنامه‌های خود را به‌روزرسانی کنند، کلیدها تعویض نمی‌شوند. به‌روزرسانی یا جایگزینی کلیدها در برنامه‌های جاوا اسکریپت یا خدمات وب بسیار ساده‌تر است، اما همچنان ممکن است نیاز به برنامه‌ریزی دقیق و کار سریع داشته باشد.
برای اطلاعات بیشتر، به مدیریت استفاده غیرمجاز از یک کلید API مراجعه کنید.

کلیدهای API خود را محدود کنید

بهترین روش این است که همیشه کلیدهای API خود را با یک محدودیت برنامه و یک یا چند محدودیت API محدود کنید. برای محدودیت‌های پیشنهادی توسط سرویس API، SDK یا جاوا اسکریپت، به برنامه توصیه‌شده و محدودیت‌های API در زیر مراجعه کنید.

محدودیت برنامه می‌توانید استفاده از کلید API را به پلتفرم‌های خاصی محدود کنید: برنامه‌های Android یا iOS، یا وب‌سایت‌های خاص برای برنامه‌های سمت سرویس گیرنده، یا آدرس‌های IP خاص یا زیرشبکه‌های CIDR برای برنامه‌های سمت سرور که تماس‌های REST API سرویس وب را صادر می‌کنند.
شما یک کلید را با افزودن یک یا چند محدودیت برنامه از انواعی که می خواهید مجاز کنید، محدود می کنید، پس از آن فقط درخواست هایی که از این منابع نشات می گیرند مجاز هستند.
توجه: اگر محدودیت برنامه را روی یک کلید API قرار دهید، نمی توانید از آن در پلتفرم های دیگر استفاده کنید. برای مثال، اگر کلید API را فقط به برنامه‌های Android محدود کنید، نمی‌توانید از آن در iOS، سرویس‌های وب یا APIهای جاوا اسکریپت استفاده کنید.
محدودیت‌های API می‌توانید APIها، SDKها یا سرویس‌هایی را که کلید API شما می‌تواند در آن‌ها استفاده شود، محدود کنید. محدودیت‌های API فقط درخواست‌ها را به APIها و SDK‌هایی که شما مشخص می‌کنید اجازه می‌دهد. برای هر کلید API داده شده، می توانید به تعداد مورد نیاز محدودیت های API را مشخص کنید. لیست APIهای موجود شامل تمام APIهای فعال در یک پروژه است.
مهم: مطمئن شوید APIها یا SDKهایی که کلید API خود را به آنها محدود می کنید، از نوع محدودیت های برنامه ای که تنظیم کرده اید پشتیبانی می کنند. به عنوان مثال، اگر کلید را با محدودیت iOS پیکربندی می‌کنید، مطمئن شوید API شما که قصد استفاده از آن را دارید در iOS موجود است.

یک محدودیت برنامه برای یک کلید API تنظیم کنید

صفحه اعتبارنامه پلتفرم Google Maps کنسول Google Cloud را باز کنید.
کلید API را که می خواهید محدود کنید انتخاب کنید.
در صفحه ویرایش کلید API ، در زیر کلید محدودیت‌ها ، تنظیم محدودیت برنامه را انتخاب کنید.

یکی از انواع محدودیت ها را انتخاب کنید و اطلاعات درخواستی را در لیست محدودیت ها ارائه دهید.

نوع محدودیت	توضیحات
وب سایت ها	یک یا چند وب سایت ارجاع دهنده را مشخص کنید. طرح های URI ارجاع دهنده با پشتیبانی جهانی `https` و `http` هستند. همیشه URI ارجاع دهنده کامل ، از جمله طرح پروتکل، نام میزبان و پورت اختیاری (به عنوان مثال، `https://google.com` ) را ارائه دهید. می توانید از کاراکترهای wildcard برای مجوز دادن به همه زیر دامنه ها استفاده کنید. برای مثال، `https://.google.com` همه سایت‌هایی که به `.google.com` ختم می‌شوند را می‌پذیرد. توجه داشته باشید که اگر www.domain.com را مشخص کنید، به عنوان یک علامت عام www.domain.com/ عمل می کند و هر مسیر فرعی را در نام میزبان مجاز می کند. هنگام مجاز کردن ارجاع دهندگان تمام مسیر، به عنوان مثال، `https://google.com/some/path` ، مراقب باشید، زیرا به طور پیش فرض، اکثر مرورگرهای فعلی مسیر را از درخواست های متقاطع حذف می کنند.
آدرس های IP	یک یا چند آدرس IPv4 یا IPv6 یا زیرشبکه را با استفاده از نماد CIDR مشخص کنید. آدرس‌های IP باید با آدرس منبعی که سرورهای پلتفرم Google Maps مشاهده می‌کنند مطابقت داشته باشد. اگر از ترجمه آدرس شبکه (NAT) استفاده می کنید، این آدرس معمولاً با آدرس IP عمومی دستگاه شما مطابقت دارد.
برنامه های اندروید	نام بسته Android (از فایل `AndroidManifest.xml` ) و اثر انگشت گواهی امضای SHA-1 را برای هر برنامه Android که می‌خواهید مجوز دهید، اضافه کنید. اگر از Play App Signing استفاده می‌کنید، برای واکشی اثر انگشت گواهی امضا، به کار با ارائه‌دهندگان API مراجعه کنید. اگر کلید امضای خود را مدیریت می کنید، به امضای خودکار برنامه خود مراجعه کنید یا به دستورالعمل های محیط ساخت خود مراجعه کنید.
برنامه های iOS	شناسه بسته نرم افزاری هر برنامه iOS را که می خواهید مجوز دهید اضافه کنید.

برای توصیه‌هایی برای محدودیت برنامه، به محدودیت برنامه توصیه‌شده مراجعه کنید.

ذخیره را انتخاب کنید.

محدودیت های API را برای یک کلید API تنظیم کنید

صفحه اعتبارنامه پلتفرم Google Maps کنسول Google Cloud را باز کنید.
کلید API را که می خواهید محدود کنید انتخاب کنید.
در صفحه کلید ویرایش API ، تحت محدودیت های API :
- کلید محدود را انتخاب کنید.
- Select APIs را باز کنید و API ها یا SDK هایی را که می خواهید برنامه شما به آن دسترسی داشته باشد با استفاده از کلید API انتخاب کنید.
اگر یک API یا SDK در لیست نیست، باید آن را فعال کنید. برای جزئیات، به فعال کردن یک یا چند API یا SDK مراجعه کنید.
ذخیره را انتخاب کنید.
پس از این مرحله محدودیت بخشی از تعریف کلید API می شود. مطمئن شوید که جزئیات مناسب را ارائه کرده اید و ذخیره را انتخاب کنید تا محدودیت های کلید API ذخیره شود. برای اطلاعات بیشتر، راهنمای دریافت کلید API را در اسناد مربوط به API یا SDK خاصی که به آن علاقه دارید، ببینید.

برای محدودیت های توصیه شده API، به محدودیت های توصیه شده API مراجعه کنید.

استفاده از کلید API خود را بررسی کنید

اگر کلیدهای API را پس از ایجاد آنها محدود می کنید، یا اگر می خواهید ببینید کدام API توسط یک کلید استفاده می شود تا بتوانید آنها را محدود کنید، می خواهید میزان استفاده از کلید API خود را بررسی کنید. این مراحل به شما نشان می دهد که در کدام سرویس ها و روش های API از یک کلید API استفاده می شود. اگر استفاده‌ای فراتر از سرویس‌های پلتفرم Google Maps مشاهده کردید، بررسی کنید تا مشخص کنید که آیا نیاز به اضافه کردن محدودیت‌های بیشتری برای جلوگیری از استفاده ناخواسته دارید یا خیر. می‌توانید از Google Maps Platform Cloud Console Metrics برای تعیین اینکه کدام API و محدودیت‌های برنامه برای کلید API اعمال شود استفاده کنید:

API هایی که از کلید API شما استفاده می کنند را تعیین کنید
با استفاده از Metrics Explorer نوع صحیح محدودیت برنامه را انتخاب کنید

API هایی که از کلید API شما استفاده می کنند را تعیین کنید

گزارش‌های معیارهای زیر به شما امکان می‌دهند تعیین کنید کدام API از کلیدهای API شما استفاده می‌کند. از این گزارش ها برای انجام کارهای زیر استفاده کنید:

نحوه استفاده از کلیدهای API خود را ببینید
مشاهده استفاده غیرمنتظره
به بررسی اینکه آیا کلید استفاده نشده قابل حذف است یا خیر کمک کنید. برای اطلاعات در مورد حذف یک کلید API، به حذف کلیدهای استفاده نشده API مراجعه کنید.

هنگام اعمال محدودیت‌های API، از این گزارش‌ها برای ایجاد فهرستی از APIها برای تأیید اعتبار یا تأیید اعتبار توصیه‌های محدودیت کلیدی API که به‌طور خودکار تولید می‌شوند، استفاده کنید. برای اطلاعات بیشتر درباره محدودیت‌های توصیه‌شده، به اعمال محدودیت‌های توصیه‌شده مراجعه کنید. برای اطلاعات بیشتر در مورد استفاده از Metrics Explorer، به ایجاد نمودار با Metrics explorer مراجعه کنید.

به کاوشگر Metrics کنسول Google Cloud بروید
وارد شوید و پروژه ای را برای کلیدهای API که می خواهید بررسی کنید انتخاب کنید.
برای نوع API خود به صفحه کاوشگر Metrics بروید:
- برای کلیدهای API با استفاده از هر API به جز Maps Embed API : به صفحه کاوشگر Metrics بروید.
- برای کلیدهای API با استفاده از Maps Embed API : به Metrics Explorer بروید.
هر کلید API را بررسی کنید:
1. ADD FILTER را انتخاب کنید.
2. برچسب credential_id انتخاب کنید.
3. مقدار مربوط به کلید مورد نظر برای بررسی را انتخاب کنید.
4. توجه داشته باشید که این کلید API برای کدام APIها استفاده می شود و تأیید کنید که مورد انتظار است.
5. پس از اتمام، گزینه Remove filter در انتهای خط فیلتر فعال انتخاب کنید تا فیلتر اضافی حذف شود.
برای هر کلید باقیمانده این کار را تکرار کنید.
کلیدهای API خود را فقط به APIهایی که در حال استفاده هستند محدود کنید.
اگر استفاده غیرمجاز را مشاهده کردید، به مدیریت استفاده غیرمجاز از یک کلید API مراجعه کنید.

با استفاده از Metrics Explorer نوع صحیح محدودیت برنامه را انتخاب کنید

پس از تأیید و انجام اقدامات لازم برای اطمینان از اینکه کلید API شما فقط برای سرویس‌های پلتفرم Google Maps که استفاده می‌کند استفاده می‌شود، همچنین مطمئن شوید که کلید API دارای محدودیت‌های کاربردی صحیح است.

اگر کلید API شما محدودیت های کلید API را توصیه کرده است، آنها را اعمال کنید. برای اطلاعات بیشتر، اعمال محدودیت‌های کلیدی API توصیه‌شده را ببینید.

اگر کلید API شما توصیه‌های محدودیتی ندارد، بر اساس platform_type گزارش‌شده با استفاده از کاوشگر Metrics، نوع محدودیت برنامه کاربردی را تعیین کنید:

به کاوشگر Metrics کنسول Google Cloud بروید
وارد شوید و پروژه API هایی را که می خواهید بررسی کنید انتخاب کنید.
به این صفحه کاوشگر Metrics بروید: Metrics Explorer .
هر کلید API را بررسی کنید:
1. ADD FILTER را انتخاب کنید.
2. برچسب credential_id انتخاب کنید.
3. مقدار مربوط به کلید مورد نظر برای بررسی را انتخاب کنید.
4. پس از اتمام، گزینه Remove filter در انتهای خط فیلتر فعال انتخاب کنید تا فیلتر اضافی حذف شود.
برای هر کلید باقیمانده این کار را تکرار کنید.
هنگامی که نوع پلتفرم کلیدهای API خود را دارید، محدودیت برنامه را برای آن platform_type اعمال کنید:
PLATFORM_TYPE_JS : محدودیت‌های وب‌سایت را روی کلید اعمال کنید.
PLATFORM_TYPE_ANDROID : محدودیت‌های برنامه Android را روی کلید اعمال کنید.
PLATFORM_TYPE_IOS : محدودیت‌های برنامه iOS را روی کلید اعمال کنید.
PLATFORM_TYPE_WEBSERVICE : ممکن است مجبور شوید برای محدود کردن کلید به محدودیت های آدرس IP روی کلید تکیه کنید. برای گزینه‌های بیشتر Maps Static API و Street View Static API، به محافظت از برنامه‌ها با استفاده از Static Web API مراجعه کنید. برای دستورالعمل‌های بیشتر درباره Maps Embed API، به وب‌سایت‌های دارای Maps Embed API مراجعه کنید.
کلید API من از چندین نوع پلت فرم استفاده می کند: ترافیک شما را نمی توان به درستی تنها با یک کلید API ایمن کرد. شما باید به چندین کلید API مهاجرت کنید. برای اطلاعات بیشتر، به انتقال به چند کلید API مراجعه کنید.

برای هر برنامه از کلیدهای API جداگانه استفاده کنید

این عمل دامنه هر کلید را محدود می کند. اگر یکی از کلیدهای API به خطر بیفتد، می‌توانید بدون نیاز به به‌روزرسانی کلیدهای API دیگر، کلید تأثیرگذار را حذف یا بچرخانید. شما می توانید تا 300 کلید API در هر پروژه ایجاد کنید. برای اطلاعات بیشتر، محدودیت‌های کلیدهای API را ببینید.

در حالی که یک کلید API برای هر برنامه برای اهداف امنیتی ایده‌آل است، می‌توانید از کلیدهای محدود در چندین برنامه استفاده کنید تا زمانی که از یک نوع محدودیت برنامه استفاده کنند.

محدودیت های توصیه شده کلید API را اعمال کنید

برای برخی از صاحبان و ویراستاران پروژه، کنسول Google Cloud بر اساس استفاده و فعالیت پلتفرم Google Maps، محدودیت‌های کلیدی API خاصی را برای کلیدهای API نامحدود پیشنهاد می‌کند.

در صورت وجود، توصیه‌ها به‌عنوان گزینه‌های از پیش پر شده در صفحه ** اعتبارنامه پلتفرم نقشه‌های Google** ظاهر می‌شوند.

دلایلی که ممکن است توصیه ای را مشاهده نکنید یا توصیه ای ناقص را ببینید

شما (همچنین) از کلید API در سرویس‌های دیگری غیر از Google Maps Platform استفاده می‌کنید. اگر استفاده از سرویس‌های دیگر را مشاهده کردید، توصیه را بدون انجام کارهای زیر اعمال نکنید :
1. بررسی کنید که استفاده از API که در کاوشگر Metrics کنسول Google Cloud مشاهده می‌کنید قانونی است.
2. سرویس‌های گمشده را به‌صورت دستی به فهرست APIهایی که باید مجاز شوند اضافه کنید .
3. هرگونه محدودیت برنامه از دست رفته را برای سرویس های اضافه شده به لیست API به صورت دستی اضافه کنید . اگر دیگر اضافه شده شما به نوع دیگری از محدودیت های برنامه نیاز دارد، به انتقال به چند کلید API مراجعه کنید.
کلید API شما در SDKها یا APIهای سمت سرویس گیرنده استفاده نمی شود.
شما از کلید API در برنامه یا وب سایتی با حجم کم استفاده می کنید که در 60 روز گذشته استفاده نشده است.
شما اخیراً یک کلید جدید ایجاد کرده اید، یا اخیراً یک کلید موجود را در یک برنامه جدید مستقر کرده اید. اگر اینطور است، فقط چند روز دیگر صبر کنید تا توصیه ها به روز شوند.
شما از کلید API در چندین برنامه استفاده می‌کنید که به انواع متناقض محدودیت‌های برنامه نیاز دارند، یا از کلید API یکسان در برنامه‌ها یا وب‌سایت‌های بسیار مختلف استفاده می‌کنید. در هر صورت، به عنوان بهترین روش، باید به چند کلید مهاجرت کنید. برای جزئیات بیشتر، انتقال به چند کلید API را ببینید.

دلایلی که ممکن است توصیه هایی را ببینید که در نمودارها قابل مشاهده نیستند

برنامه یا وب سایت شما فقط ترافیک بسیار کوتاهی ارسال کرد. در این حالت، از نمای نمودار جابجا شوید تا یک TABLE یا هر دو نمایش داده شود، زیرا استفاده همچنان در افسانه قابل مشاهده است. برای اطلاعات بیشتر، به جابجایی افسانه‌های کامل نمودار مراجعه کنید.
ترافیک شما از Maps Embed API است. برای دستورالعمل‌ها، به تعیین APIهایی که از کلید API شما استفاده می‌کنند مراجعه کنید.
ترافیک برنامه یا وب‌سایت خارج از محدوده تاریخی موجود در Google Cloud Console Metrics Explorer است.

برای اعمال محدودیت های توصیه شده

صفحه اعتبارنامه پلتفرم Google Maps کنسول Google Cloud را باز کنید.
در صورت وجود، اعمال محدودیت های توصیه شده را انتخاب کنید.
توجه : اگر هیچ محدودیت توصیه‌شده‌ای نمی‌بینید، برای تنظیم محدودیت‌های مناسب ، به تنظیم محدودیت‌های API برای یک کلید API مراجعه کنید.
برای بررسی اینکه کلید API در کدام سرویس‌ها استفاده می‌شود، بررسی استفاده از API را انتخاب کنید. اگر خدمات دیگری غیر از Google Maps Platform را مشاهده می‌کنید، برای مرور دستی مراحل توصیه‌شده در بالا، مکث کنید . مراحل عیب‌یابی را در ابتدای بخش اعمال محدودیت‌های کلیدی API توصیه‌شده ببینید.
مجدداً بررسی کنید که محدودیت‌های از پیش پر شده با وب‌سایت‌ها و برنامه‌هایی مطابقت داشته باشند که انتظار دارید از کلید API خود استفاده کنید.
بهترین روش : هر گونه محدودیت برنامه یا API را که به خدمات شما وابسته نیست، مستند کرده و حذف کنید. اگر چیزی به دلیل وابستگی غیرمنتظره خراب شد، می‌توانید برنامه‌ها یا APIهای مورد نیاز را دوباره به آن اضافه کنید.
- اگر متوجه شدید که برنامه، وب‌سایت یا API به وضوح در توصیه شما وجود ندارد، آن را به صورت دستی اضافه کنید یا چند روز صبر کنید تا توصیه به‌روزرسانی شود.
- اگر در مورد توصیه پیشنهادی خود به راهنمایی بیشتری نیاز دارید، با پشتیبانی تماس بگیرید .
Apply را انتخاب کنید.

اگر درخواست شما پس از اعمال یک توصیه رد شد، چه کاری باید انجام دهید

اگر متوجه شدید که یک برنامه یا وب سایت پس از اعمال محدودیت رد می شود، به دنبال محدودیت برنامه ای که باید اضافه کنید در پیام خطای پاسخ API بگردید.

برای SDK های سمت سرویس گیرنده، به زیر مراجعه کنید:

برنامه‌های Maps JavaScript API: کنسول رفع اشکال مرورگر را ببینید
برنامه های اندروید: از پل اشکال زدایی اندروید (adb) یا Logcat استفاده کنید
برنامه‌های iOS: مشاهده پیام‌های گزارش را ببینید

برای بررسی محدودیت‌های API مورد نیاز خود، به تعیین APIهایی که از کلید API شما استفاده می‌کنند مراجعه کنید.

اگر نمی توانید تعیین کنید که کدام محدودیت اعمال شود:

محدودیت های فعلی را برای مراجعات بعدی مستند کنید.
در حین بررسی موضوع، آنها را به طور موقت حذف کنید. می‌توانید با استفاده از مراحل بررسی استفاده از کلید API خود را در طول زمان بررسی کنید.
در صورت نیاز با پشتیبانی تماس بگیرید .

کلیدهای API استفاده نشده را حذف کنید

قبل از اینکه یک کلید API را حذف کنید، مطمئن شوید که در تولید استفاده نمی شود. اگر ترافیک موفقیت آمیزی وجود نداشته باشد، احتمالاً کلید حذف می شود. برای اطلاعات بیشتر، بررسی استفاده از کلید API خود را ببینید.

برای حذف یک کلید API:

صفحه اعتبارنامه پلتفرم Google Maps کنسول Google Cloud را باز کنید.
کلید API را که می خواهید حذف کنید انتخاب کنید.
دکمه Delete را نزدیک بالای صفحه انتخاب کنید.
در صفحه حذف اعتبارنامه ، حذف را انتخاب کنید.
انتشار یک کلید API چند دقیقه طول می کشد. پس از تکمیل انتشار، هرگونه ترافیک با استفاده از کلید API حذف شده رد می شود.

هنگام چرخاندن کلیدهای API مراقب باشید

چرخاندن یک کلید API یک کلید جدید ایجاد می کند که تمام محدودیت های کلید قدیمی را دارد. در این پنجره زمانی، هم کلید قدیمی و هم کلید جدید پذیرفته می‌شوند و به شما فرصتی می‌دهد تا برنامه‌های خود را برای استفاده از کلید جدید انتقال دهید.

قبل از چرخاندن یک کلید API :

ابتدا سعی کنید کلیدهای API خود را همانطور که در Restrict your API keys توضیح داده شده محدود کنید.
اگر محدود کردن کلید API شما به دلیل متناقض انواع محدودیت برنامه امکان پذیر نیست، همانطور که در انتقال به چندین کلید API توضیح داده شده است، به چندین کلید جدید (محدود شده) مهاجرت کنید. مهاجرت به شما امکان می دهد انتقال را کنترل کنید و جدول زمانی را به کلیدهای API جدید ارائه دهید.

اگر پیشنهادات قبلی ممکن نیست ، و باید کلید API خود را بچرخانید تا از استفاده غیرمجاز جلوگیری کنید، سپس این مراحل را دنبال کنید:

صفحه اعتبارنامه پلتفرم Google Maps کنسول Google Cloud را باز کنید.
کلید API را که می خواهید بچرخانید باز کنید.
در بالای صفحه، کلید چرخش را انتخاب کنید.
در صورت تمایل، نام کلید API را تغییر دهید.
ایجاد را انتخاب کنید.
برنامه های خود را برای استفاده از کلید جدید به روز کنید.

پس از اینکه برنامه‌های خود را برای استفاده از کلید جدید به‌روزرسانی کردید، با کلیک بر روی دکمه حذف کلید قبلی در بخش Previous Key صفحه کلید API جدید، کلید قدیمی را حذف کنید.

به چندین کلید API مهاجرت کنید

برای انتقال از استفاده از یک کلید API برای چندین برنامه به یک کلید API منحصر به فرد برای هر برنامه، موارد زیر را انجام دهید:

مشخص کنید کدام برنامه ها به کلیدهای جدید نیاز دارند :
- برنامه های وب ساده ترین به روز رسانی هستند، زیرا شما همه کدها را کنترل می کنید. برنامه ریزی کنید که همه کلیدهای برنامه های مبتنی بر وب خود را به روز کنید.
- برنامه های تلفن همراه بسیار سخت تر هستند، زیرا مشتریان شما باید قبل از استفاده از کلیدهای جدید، برنامه های خود را به روز کنند.
ایجاد و محدود کردن کلیدهای جدید : هم یک محدودیت برنامه و هم حداقل یک محدودیت API اضافه کنید. برای اطلاعات بیشتر، بهترین شیوه های توصیه شده را ببینید.
کلیدهای جدید را به برنامه‌های خود اضافه کنید : برای برنامه‌های تلفن همراه، این فرآیند ممکن است ماه‌ها طول بکشد تا همه کاربران شما با کلید API جدید به آخرین برنامه به‌روزرسانی شوند.

مهم: در حالی که می‌توانید کلیدهای API را پس از ایجاد و استفاده ایمن کنید، اما در برنامه‌های تلفن همراه (اندروید و iOS)، کلیدها تا زمانی که مشتریان برنامه‌های خود را به‌روزرسانی کنند، تعویض نمی‌شوند. به‌روزرسانی یا جایگزینی کلیدها در برنامه‌های جاوا اسکریپت یا خدمات وب بسیار ساده‌تر است، اما همچنان ممکن است نیاز به برنامه‌ریزی دقیق و کار سریع داشته باشد. برای اطلاعات بیشتر، ببینید آیا در حال محدود کردن یا ایجاد مجدد یک کلید API در حال استفاده هستید .

با استفاده از Static Web API از برنامه ها محافظت کنید

APIهای وب استاتیک، مانند Maps Static API و Street View Static API، مشابه تماس‌های API سرویس وب هستند.

شما هر دو را با استفاده از HTTPS REST API فراخوانی می‌کنید و معمولاً API را ایجاد می‌کنید. با این حال، به جای بازگرداندن پاسخ JSON، APIهای وب استاتیک تصویری را تولید می‌کنند که می‌توانید آن را در کد HTML تولید شده جاسازی کنید. مهمتر از آن، این سرویس گیرنده کاربر نهایی است که سرویس پلتفرم نقشه های گوگل را فرا می خواند نه سرور.

از امضای دیجیتال استفاده کنید

به عنوان بهترین روش، همیشه علاوه بر کلید API از امضای دیجیتال استفاده کنید. همچنین، تعداد درخواست‌های بدون امضا را که می‌خواهید در روز مجاز کنید بررسی کنید و سهمیه درخواست‌های امضا نشده خود را بر این اساس تنظیم کنید .

برای جزئیات بیشتر در مورد امضای دیجیتال، راهنمای امضای دیجیتال را ببینید.

از راز امضای خود محافظت کنید

برای محافظت از APIهای وب استاتیک، اسرار امضای API خود را مستقیماً در کد یا درخت منبع قرار ندهید، یا آنها را در برنامه های سمت سرویس گیرنده افشا نکنید. این بهترین شیوه ها را برای محافظت از اسرار امضای خود دنبال کنید:

درخواست های خود را در سمت سرور امضا کنید، نه در مشتری . اگر امضای سمت کلاینت را در جاوا اسکریپت انجام دهید، آن را در معرض دید هر کسی که از سایت شما بازدید می کند، می کنید. بنابراین، برای تصاویری که به صورت پویا تولید می‌شوند، همیشه هنگام ارائه صفحه وب، نشانی‌های اینترنتی درخواست Maps Static API و Street View Static API را در سمت سرور ایجاد کنید. برای محتوای وب ثابت، می‌توانید از ویجت Sign a URL now در صفحه اعتبارنامه پلتفرم Google Maps کنسول Cloud استفاده کنید.
اسرار امضا را خارج از کد منبع و درخت منبع برنامه خود ذخیره کنید . اگر اسرار امضای خود یا هر اطلاعات خصوصی دیگری را در متغیرهای محیط قرار دهید یا فایل‌هایی را که جداگانه ذخیره می‌شوند و سپس کد خود را به اشتراک بگذارید، در فایل‌های مشترک گنجانده نمی‌شود. اگر اسرار امضا یا هر اطلاعات خصوصی دیگری را در فایل‌ها ذخیره می‌کنید، فایل‌ها را خارج از درخت منبع برنامه خود نگه دارید تا اسرار امضای خود را از سیستم کنترل کد منبع خود دور نگه دارید. اگر از سیستم مدیریت کد منبع عمومی مانند GitHub استفاده می کنید، این احتیاط به ویژه مهم است.

از کلید API خود در برنامه هایی که از خدمات وب استفاده می کنند محافظت کنید

کلیدهای API را خارج از کد منبع یا درخت منبع برنامه خود ذخیره کنید . اگر کلیدهای API یا هر اطلاعات دیگری را در متغیرهای محیطی قرار دهید یا فایل‌هایی را که جداگانه ذخیره می‌شوند و سپس کد خود را به اشتراک بگذارید، در فایل‌های به اشتراک‌گذاشته‌شده گنجانده نمی‌شوند. اگر از سیستم مدیریت کد منبع عمومی مانند GitHub استفاده می کنید، این امر به ویژه مهم است.

از کلید API و راز امضا در برنامه های تلفن همراه با استفاده از سرویس های وب یا Static Web API محافظت کنید

برای محافظت از برنامه‌های تلفن همراه، از یک فروشگاه کلید امن یا سرور پراکسی امن استفاده کنید:{:#proxy-server} برای محافظت از برنامه‌های تلفن همراه، از یک فروشگاه کلید یا سرور پراکسی ایمن استفاده کنید:

کلید API یا رمز امضا را در یک فروشگاه کلید امن ذخیره کنید . این مرحله حذف کلیدهای API و سایر داده های خصوصی به طور مستقیم از برنامه را دشوارتر می کند.
از یک سرور پروکسی امن استفاده کنید . سرور پروکسی منبعی محکم برای تعامل با API مناسب پلتفرم نقشه های گوگل فراهم می کند. برای اطلاعات بیشتر در مورد استفاده از سرور پروکسی، به Living Vicariously: Using Proxy Servers with the Google Data API Client Libraries مراجعه کنید.
- درخواست های پلتفرم نقشه های گوگل خود را روی سرور پروکسی بسازید. به کلاینت‌ها اجازه ندهید که تماس‌های دلخواه API را با استفاده از پروکسی ارسال کنند.
- پاسخ‌های پلتفرم نقشه‌های Google را در سرور پروکسی خود پس از پردازش انجام دهید. داده هایی را که مشتری به آنها نیاز ندارد فیلتر کنید.
مهم: همیشه برای دسترسی مشتری به سرورهای پراکسی به احراز هویت نیاز دارید.

از App Check برای ایمن کردن کلید API خود استفاده کنید

برخی از SDKها و APIهای Maps به شما امکان می دهند با Firebase App Check یکپارچه شوید. App Check با مسدود کردن ترافیکی که از منابعی غیر از برنامه‌های قانونی می‌آید، از تماس‌های برنامه شما به پلتفرم Google Maps محافظت می‌کند. این کار را با بررسی نشانه ای از یک ارائه دهنده گواهی انجام می دهد. ادغام برنامه‌هایتان با App Check به محافظت در برابر درخواست‌های مخرب کمک می‌کند، بنابراین برای تماس‌های API غیرمجاز هزینه‌ای از شما دریافت نمی‌شود.

دستورالعمل های ادغام بررسی برنامه:

استفاده غیرمجاز از یک کلید API را مدیریت کنید

اگر متوجه شدید استفاده از کلید API غیرمجاز است، برای رفع مشکل موارد زیر را انجام دهید:

کلیدهای خود را محدود کنید : اگر از یک کلید در چندین برنامه استفاده کرده اید، به چندین کلید API منتقل کنید و از کلیدهای API جداگانه برای هر برنامه استفاده کنید. برای جزئیات بیشتر، نگاه کنید به:
اگر از Places SDK یا Maps Javascript API استفاده می‌کنید، می‌توانید از App Check برای ایمن کردن کلید API خود نیز استفاده کنید .
فقط در صورتی کلیدها را جایگزین یا بچرخانید که یکی از موارد زیر درست باشد:
- استفاده غیرمجاز روی کلیدهایی شناسایی می‌شود که نمی‌توان آنها را محدود کرد یا قبلاً محدود شده‌اند، و App Check اعمال نمی‌شود،
- می‌خواهید سریع‌تر حرکت کنید تا کلید API خود را ایمن کنید و سوء استفاده را متوقف کنید.
قبل از ادامه، هنگام چرخاندن کلیدهای API مراقب باشید .
اگر همچنان مشکل دارید یا به کمک نیاز دارید، با پشتیبانی تماس بگیرید .

محدودیت های برنامه و API توصیه شده

بخش‌های زیر محدودیت‌های برنامه و API مناسب را برای هر API، SDK یا سرویس Google Maps Platform پیشنهاد می‌کنند.

محدودیت های API توصیه شده

دستورالعمل‌های زیر برای محدودیت‌های API برای کل پلتفرم Google Maps اعمال می‌شود:

کلید API خود را فقط به APIهایی که از آن استفاده می کنید، با استثنائات زیر محدود کنید:

اگر برنامه شما از Places SDK برای Android یا Places SDK برای iOS استفاده می‌کند، Places API را مجاز کنید.
اگر برنامه شما از Maps JavaScript API استفاده می‌کند، همیشه آن را روی کلید خود مجاز کنید.
اگر از یکی از خدمات Maps JavaScript API زیر نیز استفاده می‌کنید، باید APIهای زیر را نیز مجاز کنید:

خدمات	محدودیت API
سرویس مسیرها، Maps JavaScript API (Legacy)	Directions API (Legacy)
سرویس ماتریس فاصله، API جاوا اسکریپت Maps (قدیمی)	Distance Matrix API (قدیمی)
Elevation Service، Maps JavaScript API	Elevation API
سرویس کدگذاری جغرافیایی، Maps JavaScript API	API کدگذاری جغرافیایی
کتابخانه مکان‌ها، Maps JavaScript API	Places API

چند نمونه:

شما از Maps SDK برای Android و Places SDK برای Android استفاده می‌کنید، بنابراین Maps SDK برای Android و Places API را به عنوان محدودیت‌های API درج می‌کنید.
وب سایت شما از Maps JavaScript API Elevation Service و Maps Static API استفاده می کند، بنابراین محدودیت های API را برای همه API های زیر اضافه می کنید:
- Maps JavaScript API
- Elevation API
- Maps Static API

محدودیت برنامه توصیه شده

وب‌سایت‌هایی با Maps JavaScript API یا Static Web API

برای وب‌سایت‌هایی که از خدمات Maps JavaScript یا Static Web API استفاده می‌کنند، از محدودیت برنامه Websites استفاده کنید.

برای وب‌سایت‌هایی که از این سرویس‌ها و APIهای جاوا اسکریپت استفاده می‌کنند استفاده کنید:

¹ برای برنامه‌های تلفن همراه، از Maps SDK برای Android و Maps SDK برای iOS استفاده کنید.

² همچنین به محافظت از برنامه های تلفن همراه با استفاده از وب سرویس یا Static Web API مراجعه کنید.

وب‌سایت‌هایی با Maps Embed API

در حالی که استفاده از Maps Embed API هزینه ای ندارد، همچنان باید کلید API استفاده شده را محدود کنید تا از سوء استفاده در سایر سرویس ها جلوگیری کنید.

بهترین روش : یک کلید API جداگانه برای استفاده Maps Embed API ایجاد کنید و این کلید را فقط به Maps Embed API محدود کنید. این محدودیت به اندازه کافی کلید را ایمن می کند و از استفاده غیرمجاز آن در سایر سرویس های Google جلوگیری می کند.

اگر نمی توانید استفاده از Maps Embed API خود را به یک کلید API جداگانه جدا کنید، کلید خود را با استفاده از محدودیت برنامه Websites ایمن کنید.

برنامه ها و سرورهایی که از خدمات وب استفاده می کنند

برای برنامه‌ها و سرورهایی که از خدمات وب استفاده می‌کنند، از محدودیت برنامه IP addresses استفاده کنید.

برای برنامه‌ها و سرورهایی که از این APIها استفاده می‌کنند استفاده کنید:

³ برای برنامه‌های تلفن همراه، از Places SDK برای Android و Places SDK برای iOS استفاده کنید.

برنامه های اندروید

برای برنامه‌های اندروید، از محدودیت Android apps استفاده کنید. برای برنامه‌ها و سرورهایی که از این SDK استفاده می‌کنند استفاده کنید:

علاوه بر این، با استفاده از افزونه Secrets Gradle برای تزریق اسرار از یک فایل محلی به جای ذخیره آنها در Manifest Android، از بررسی تصادفی کلیدهای API در کنترل نسخه جلوگیری کنید.

برنامه های iOS

برای برنامه‌های iOS، از محدودیت برنامه‌های iOS apps استفاده کنید. برای برنامه‌ها و سرورهایی که از این SDK استفاده می‌کنند استفاده کنید:

اطلاعات مرتبط

این بهترین شیوه ها به شما نشان می دهد که چگونه آنها را محدود کنید.

برای جزئیات بیشتر در مورد امضای دیجیتال، راهنمای امضای دیجیتال را ببینید.

بهترین شیوه های توصیه شده

برای همه کاربردهای کلید API توصیه می شود

کلیدهای API خود را محدود کنید

برای هر برنامه از کلیدهای API جداگانه استفاده کنید

کلیدهای API استفاده نشده را حذف کنید

استفاده از کلید API خود را بررسی کنید

هنگام چرخاندن کلیدهای API مراقب باشید

توصیه های اضافی برای وب سایت هایی که از API های وب استاتیک استفاده می کنند

با استفاده از Static Web API از برنامه ها محافظت کنید

توصیه‌های اضافی برای برنامه‌هایی که از خدمات وب استفاده می‌کنند

از برنامه ها با استفاده از خدمات وب محافظت کنید

توصیه های اضافی برای برنامه های موبایل iOS و Android

با استفاده از وب سرویس یا استاتیک وب API از برنامه های تلفن همراه محافظت کنید

اگر یک کلید API در حال استفاده را محدود یا بازسازی می کنید

قبل از اینکه کلید API را تغییر دهید، میزان استفاده از کلید API خود را بررسی کنید این مرحله به ویژه در صورتی مهم است که بعد از استفاده از کلید محدودیت هایی اضافه کنید.
بعد از اینکه کلید را تغییر دادید، در صورت نیاز، تمام برنامه های خود را با کلیدهای API جدید به روز کنید.
اگر هیچ سوء استفاده فعالی از کلید API شما وجود نداشته باشد، می‌توانید برنامه‌های خود را با سرعت دلخواه خود به چندین کلید API جدید منتقل کنید و کلید API اصلی را دست نخورده باقی بگذارید تا زمانی که فقط یک نوع ترافیک را مشاهده کنید، که سپس می‌توانید کلیدهای API را با محدودیت برنامه محدود کنید. برای دستورالعمل‌های بیشتر، به انتقال به چند کلید API مراجعه کنید.
قبل از اینکه بخواهید کلید قدیمی را محدود یا حذف کنید، استفاده را در طول زمان نظارت کنید و ببینید چه زمانی APIهای خاص، انواع پلتفرم و دامنه‌ها از کلید API قدیمی خارج شده‌اند. برای اطلاعات بیشتر، به گزارش و نظارت و معیارها مراجعه کنید
اگر کلید API شما به خطر افتاده است، می‌خواهید سریع‌تر حرکت کنید تا کلید API خود را ایمن کنید و سوء استفاده را متوقف کنید. در برنامه‌های Android و iOS، تا زمانی که مشتریان برنامه‌های خود را به‌روزرسانی کنند، کلیدها تعویض نمی‌شوند. به روزرسانی یا جایگزینی کلیدها در برنامه های JavaScript یا وب سرویس بسیار ساده تر است ، اما هنوز هم ممکن است نیاز به برنامه ریزی دقیق و کار سریع داشته باشد.
برای اطلاعات بیشتر ، به استفاده غیرمجاز از یک کلید API مراجعه کنید.

کلیدهای API خود را محدود کنید

بهترین روش این است که همیشه کلیدهای API خود را با محدودیت کاربرد و یک یا چند محدودیت API محدود کنید. برای محدودیت های پیشنهادی توسط سرویس API ، SDK یا JavaScript ، به برنامه های توصیه شده و محدودیت های API در زیر مراجعه کنید.

محدودیت برنامه شما می توانید استفاده از یک کلید API را در سیستم عامل های خاص محدود کنید: برنامه های Android یا iOS یا وب سایت های خاص برای برنامه های سمت مشتری ، یا آدرس های IP خاص یا زیر شبکه های CIDR برای برنامه های سمت سرور صدور سرویس وب REST API.
شما یک کلید را با اضافه کردن یک یا چند محدودیت کاربردی از انواع مورد نظر برای مجاز بودن محدود می کنید ، پس از آن فقط درخواست های منشاء این منابع مجاز است.
توجه: اگر محدودیت برنامه را روی یک کلید API قرار دهید ، نمی توانید از آن در سیستم عامل های دیگر استفاده کنید. به عنوان مثال ، اگر کلید API را فقط به برنامه های Android محدود کنید ، نمی توانید از آن با iOS ، خدمات وب یا API های JavaScript استفاده کنید.
محدودیت های API شما می توانید محدود کنید که API ها ، SDK ها یا خدماتی که از روی کلید API شما استفاده می شود ، می توانید از سیستم Google Maps استفاده کنید. محدودیت های API فقط درخواست هایی را به API ها و SDK هایی که مشخص می کنید اجازه می دهد. برای هر کلید API داده شده ، می توانید در صورت لزوم محدودیت های API را مشخص کنید. لیست API های موجود شامل کلیه API های فعال شده در یک پروژه است.
نکته مهم: اطمینان حاصل کنید که API ها یا SDK هایی که شما در آن محدود می کنید کلید API خود را از نوع محدودیت های کاربردی که تعیین کرده اید پشتیبانی می کنند. به عنوان مثال ، اگر کلید را با محدودیت iOS پیکربندی می کنید ، حتماً API خود را که قصد استفاده از کلید را دارید با iOS موجود است.

محدودیت برنامه را برای یک کلید API تنظیم کنید

صفحه اعتبارنامه پلتفرم Google Maps کنسول Google Cloud را باز کنید.
کلید API را که می خواهید محدود کنید انتخاب کنید.
در صفحه کلید ویرایش API ، تحت محدودیت های اصلی ، تنظیم یک محدودیت برنامه را انتخاب کنید.

یکی از انواع محدودیت ها را انتخاب کنید و اطلاعات درخواستی را در لیست محدودیت ها ارائه دهید.

نوع محدودیت	توضیحات
وب سایت ها	یک یا چند وب سایت مراجعه کننده را مشخص کنید. طرح های URI ارجاع دهنده با پشتیبانی جهانی `https` و `http` هستند. همیشه URI مراجعه کننده کامل ، از جمله طرح پروتکل ، نام میزبان و درگاه اختیاری را ارائه دهید (به عنوان مثال ، `https://google.com` ). می توانید از شخصیت های Wildcard استفاده کنید تا به همه زیر دامنه ها اجازه دهید. به عنوان مثال ، `https://.google.com` تمام سایتهای پایان یافته را در `.google.com` می پذیرد. توجه داشته باشید که اگر www.domain.com را مشخص کنید ، به عنوان یک کارت وحشی www.domain.com/ عمل می کند و هرگونه فرعی را در این نام میزبان مجاز می کند. به عنوان مثال ، در هنگام مجاز بودن مراجعه کنندگان به صورت کامل ، به عنوان مثال ، `https://google.com/some/path` ، به طور پیش فرض ، بیشتر مرورگرها مسیر را از درخواست های متقاطع استفاده می کنند.
آدرس های IP	یک یا چند آدرس IPv4 یا IPv6 یا زیر شبکه ها را با استفاده از نماد CIDR مشخص کنید. آدرس های IP باید با آدرس منبعی که سرورهای پلتفرم Google Maps مشاهده می کنند مطابقت داشته باشد. اگر از ترجمه آدرس شبکه (NAT) استفاده می کنید ، این آدرس به طور معمول با آدرس IP عمومی دستگاه شما مطابقت دارد.
برنامه های اندروید	نام بسته Android (از پرونده `AndroidManifest.xml` ) و اثر انگشت گواهی امضای SHA-1 از هر برنامه Android را که می خواهید مجاز به آن باشید ، اضافه کنید. اگر از امضای برنامه PLAY استفاده می کنید ، برای واکشی اثر انگشت گواهی امضای ، به کار با ارائه دهندگان API مراجعه کنید. اگر کلید امضای خود را مدیریت می کنید ، به خودی خود را امضا کنید یا به دستورالعمل های محیط ساخت خود مراجعه کنید.
برنامه های iOS	شناسه بسته نرم افزاری هر برنامه iOS را که می خواهید مجاز به آن باشید اضافه کنید.

برای توصیه های مربوط به محدودیت برنامه ، به محدودیت برنامه توصیه شده مراجعه کنید.

ذخیره را انتخاب کنید.

محدودیت های API را برای یک کلید API تنظیم کنید

صفحه اعتبارنامه پلتفرم Google Maps کنسول Google Cloud را باز کنید.
کلید API را که می خواهید محدود کنید انتخاب کنید.
در صفحه کلید ویرایش API ، تحت محدودیت های API :
- کلید محدود کردن را انتخاب کنید.
- API های انتخابی را باز کنید و API یا SDK را که می خواهید برنامه خود را با استفاده از کلید API دسترسی پیدا کنید ، انتخاب کنید.
اگر API یا SDK ذکر نشده است ، باید آن را فعال کنید. برای جزئیات بیشتر ، برای فعال کردن یک یا چند API یا SDK مراجعه کنید.
ذخیره را انتخاب کنید.
محدودیت بعد از این مرحله بخشی از تعریف کلید API می شود. مطمئن باشید که جزئیات مناسب را ارائه می دهید و برای ذخیره محدودیت های اصلی API خود SAVE را انتخاب کنید. برای اطلاعات بیشتر ، به راهنمای کلید Get A API در اسناد مربوط به API خاص یا SDK که به آن علاقه دارید مراجعه کنید.

برای محدودیت های API توصیه شده ، به محدودیت های توصیه شده API مراجعه کنید.

استفاده از کلید API خود را بررسی کنید

اگر بعد از ایجاد آنها ، کلیدهای API را محدود می کنید ، یا می خواهید ببینید که API ها توسط یک کلید استفاده می شوند تا بتوانید آنها را محدود کنید ، می خواهید استفاده از کلید API خود را بررسی کنید. این مراحل به شما نشان می دهد که در آن از خدمات و روشهای API از یک کلید API استفاده می شود. اگر استفاده از خدمات پلت فرم Google Maps را مشاهده می کنید ، بررسی کنید که آیا برای جلوگیری از استفاده ناخواسته نیاز به اضافه کردن محدودیت های بیشتر دارید. شما می توانید از پلت فرم Google Maps Cloud Console Metrics Explorer استفاده کنید تا تعیین کنید که API و محدودیت های کاربردی برای اعمال در کلید API خود:

API هایی را که از کلید API شما استفاده می کنند تعیین کنید
نوع صحیح محدودیت برنامه را با استفاده از Metrics Explorer انتخاب کنید

API هایی را که از کلید API شما استفاده می کنند تعیین کنید

گزارش های معیارهای زیر به شما امکان می دهد تعیین کنید که API ها از کلیدهای API خود استفاده می کنند. برای انجام موارد زیر از این گزارش ها استفاده کنید:

ببینید چگونه از کلیدهای API شما استفاده می شود
استفاده غیر منتظره
به تأیید اینکه آیا یک کلید بلااستفاده برای حذف ایمن است ، کمک کنید. برای کسب اطلاعات در مورد حذف یک کلید API ، به حذف کلیدهای API استفاده نشده مراجعه کنید.

هنگام استفاده از محدودیت های API ، از این گزارش ها برای ایجاد لیستی از API ها برای مجوز یا اعتبار دادن به توصیه های محدودیت اصلی API تولید شده استفاده کنید. برای کسب اطلاعات بیشتر در مورد محدودیت های پیشنهادی ، به اعمال محدودیت های توصیه شده مراجعه کنید. برای کسب اطلاعات بیشتر در مورد استفاده از Metrics Explorer ، به ایجاد نمودارهای با Metrics Explorer مراجعه کنید.

به Explorer Metrics Console Google Console بروید
وارد سیستم شوید و پروژه را برای کلیدهای API که می خواهید بررسی کنید انتخاب کنید.
برای نوع API خود به صفحه Metrics Explorer بروید:
- برای کلیدهای API با استفاده از هر API به جز نقشه های تعبیه شده API : به صفحه Explorer Metrics بروید.
- برای کلیدهای API با استفاده از نقشه های تعبیه شده API : به Metrics Explorer بروید.
هر کلید API را بازرسی کنید:
1. Add Filter را انتخاب کنید.
2. Label credential_id را انتخاب کنید.
3. مقدار متناسب با کلید مورد نظر برای بازرسی را انتخاب کنید.
4. توجه داشته باشید که این کلید API برای کدام API استفاده می شود و تأیید می کند که استفاده از آن انتظار می رود.
5. پس از اتمام ، حذف فیلتر در انتهای خط فیلتر فعال برای حذف فیلتر اضافی.
برای هر کلید باقی مانده تکرار کنید.
کلیدهای API خود را فقط به API های مورد استفاده محدود کنید.
اگر استفاده غیرمجاز را مشاهده می کنید ، به استفاده غیرمجاز از یک کلید API استفاده کنید .

نوع صحیح محدودیت برنامه را با استفاده از Metrics Explorer انتخاب کنید

پس از تأیید و انجام هرگونه اقدامات لازم برای اطمینان از استفاده از کلید API شما فقط برای سرویس های Google Maps Platform مورد استفاده خود استفاده می شود ، همچنین اطمینان حاصل کنید که کلید API محدودیت های صحیح برنامه را دارد.

اگر کلید API شما محدودیت های اصلی API را توصیه کرده است ، آنها را اعمال کنید. برای اطلاعات بیشتر ، به اعمال محدودیت های اصلی API توصیه شده مراجعه کنید.

اگر کلید API شما توصیه های محدودیتی ندارد ، نوع محدودیت کاربردی را که باید اعمال شود ، بر اساس platform_type گزارش شده با استفاده از Metrics Explorer تعیین کنید:

به Explorer Metrics Console Google Console بروید
وارد سیستم شوید و پروژه را برای API هایی که می خواهید بررسی کنید انتخاب کنید.
به این صفحه Explorer Metrics بروید: Metrics Explorer .
هر کلید API را بازرسی کنید:
1. Add Filter را انتخاب کنید.
2. Label credential_id را انتخاب کنید.
3. مقدار متناسب با کلید مورد نظر برای بازرسی را انتخاب کنید.
4. پس از اتمام ، حذف فیلتر در انتهای خط فیلتر فعال برای حذف فیلتر اضافی.
برای هر کلید باقی مانده تکرار کنید.
پس از داشتن نوع پلتفرم برای کلیدهای API خود ، محدودیت برنامه را برای آن platform_type اعمال کنید:
PLATFORM_TYPE_JS : محدودیت های وب سایت را روی کلید اعمال کنید.
PLATFORM_TYPE_ANDROID : محدودیت های برنامه Android را روی کلید اعمال کنید.
PLATFORM_TYPE_IOS : محدودیت های برنامه iOS را روی کلید اعمال کنید.
PLATFORM_TYPE_WEBSERVICE : ممکن است برای محدود کردن صحیح آن ، محدودیت آدرس IP را روی کلید تکیه کنید. برای گزینه های بیشتر برای نقشه های API استاتیک و Street View Static API ، به برنامه های Protect با استفاده از API های وب استاتیک مراجعه کنید. برای دستورالعمل های بیشتر برای نقشه های تعبیه شده API ، به وب سایت هایی با نقشه های API تعبیه شده مراجعه کنید.
کلید API من با استفاده از چندین نوع پلتفرم است: ترافیک شما فقط با یک کلید API واحد به درستی ایمن نیست. شما باید به چندین کلید API مهاجرت کنید. برای اطلاعات بیشتر ، به مهاجرت به چندین کلید API مراجعه کنید.

برای هر برنامه از کلیدهای API جداگانه استفاده کنید

این عمل دامنه هر کلید را محدود می کند. اگر یک کلید API به خطر بیفتد ، می توانید بدون نیاز به به روزرسانی سایر کلیدهای API خود ، کلید تأثیرگذاری شده را حذف یا بچرخانید. در هر پروژه می توانید حداکثر 300 کلید API ایجاد کنید. برای اطلاعات بیشتر ، به محدودیت های کلیدهای API مراجعه کنید.

در حالی که یک کلید API در هر برنامه برای اهداف امنیتی ایده آل است ، می توانید تا زمانی که از همان نوع محدودیت برنامه استفاده کنند ، از کلیدهای محدود در چندین برنامه استفاده کنید.

محدودیت های اصلی API توصیه شده را اعمال کنید

برای برخی از صاحبان پروژه و ویراستاران ، کنسول Google Cloud محدودیت های اصلی API را برای کلیدهای API بدون محدودیت بر اساس استفاده و فعالیت پلت فرم Google Maps خود پیشنهاد می کند.

در صورت وجود ، توصیه ها به عنوان گزینه های از پیش پر شده در صفحه ** Google Maps Platform ** ظاهر می شوند.

دلایلی که ممکن است توصیه ای را مشاهده نکنید ، یا یک مورد ناقص

شما (همچنین) از کلید API در غیر از خدمات Google Maps Platform استفاده می کنید. اگر استفاده از سایر خدمات را مشاهده می کنید ، بدون انجام موارد زیر ، توصیه را اعمال نکنید :
1. تأیید کنید که استفاده از API که در Metrics Console Console Console Explorer مشاهده می کنید قانونی است.
2. به صورت دستی خدمات مفقود شده را به لیست API ها اضافه کنید تا مجاز باشند.
3. به صورت دستی هرگونه محدودیت برنامه از دست رفته را برای خدمات اضافه شده به لیست API اضافه کنید . اگر دیگر اضافه شده شما به نوع متفاوتی از محدودیت های کاربردی نیاز دارد ، به مهاجرت به چندین کلید API مراجعه کنید.
کلید API شما در SDK های سمت مشتری یا API استفاده نمی شود.
شما از کلید API در یک برنامه یا وب سایت کم حجم استفاده می کنید که طی 60 روز گذشته استفاده نکرده است.
شما اخیراً یک کلید جدید ایجاد کرده اید ، یا اخیراً یک کلید موجود را در یک برنامه جدید مستقر کرده اید. اگر این مورد است ، فقط چند روز دیگر صبر کنید تا توصیه ها به روز شود.
شما در چندین برنامه کاربردی که به انواع متناقض محدودیت برنامه نیاز دارند ، از کلید API استفاده می کنید ، یا در برنامه ها یا وب سایت های مختلف بسیار مختلف از همان کلید API استفاده می کنید. در هر صورت ، به عنوان بهترین روش ، شما باید به چندین کلید مهاجرت کنید. برای اطلاعات بیشتر ، به مهاجرت به چندین کلید API مراجعه کنید.

دلایلی که ممکن است توصیه هایی را مشاهده کنید که در نمودارها قابل مشاهده نیست

برنامه یا وب سایت شما فقط پشت سر هم ترافیک بسیار کوتاه ارسال شده است. در این حالت ، از نمودار نمودار به نمایش یک جدول یا هر دو تغییر دهید ، زیرا استفاده هنوز در افسانه قابل مشاهده است. برای اطلاعات بیشتر ، به افسانه های کامل نمودار مراجعه کنید.
ترافیک شما از نقشه های تعبیه شده API است. برای راهنمایی ، به تعیین API هایی که از کلید API شما استفاده می کنند ، مراجعه کنید.
ترافیک برنامه یا وب سایت خارج از محدوده تاریخ موجود در Metrics Console Console Console Explorer است.

برای اعمال محدودیت های توصیه شده

صفحه اعتبارنامه پلتفرم Google Maps کنسول Google Cloud را باز کنید.
در صورت وجود ، محدودیت های توصیه شده را انتخاب کنید.
توجه : اگر محدودیت های پیشنهادی را مشاهده نمی کنید ، به محدودیت های API SET برای یک کلید API برای تعیین محدودیت های مناسب مراجعه کنید.
استفاده از API را انتخاب کنید تا تأیید کنید که از کلید API استفاده می شود. اگر به غیر از خدمات پلتفرم Google Maps می بینید ، مکث کنید تا مراحل توصیه فوق را به صورت دستی بررسی کنید. مراحل عیب یابی را در ابتدای بخش محدودیت های اصلی API توصیه شده را مشاهده کنید.
دوبار بررسی کنید که محدودیت های از پیش پر شده با وب سایت ها و برنامه هایی که انتظار دارید از کلید API خود استفاده کنید مطابقت دارد.
بهترین تمرین : هرگونه برنامه یا محدودیت های API را که به خدمات شما وابسته نیستند ، مستند و حذف کنید. اگر چیزی به دلیل وابستگی غیر منتظره شکسته شود ، می توانید برنامه های مورد نیاز یا API ها را به داخل اضافه کنید.
- اگر می دانید که یک برنامه ، وب سایت یا API به وضوح از توصیه شما گم شده است ، آن را به صورت دستی اضافه کنید یا چند روز صبر کنید تا توصیه شود به روز شود.
- اگر به توصیه پیشنهادی خود نیاز به کمک بیشتری دارید ، از پشتیبانی تماس بگیرید .
Apply را انتخاب کنید.

اگر درخواست شما پس از استفاده از توصیه رد شود ، چه کاری باید انجام شود

اگر متوجه شدید که یک برنامه یا وب سایت پس از اعمال محدودیت رد می شود ، به دنبال محدودیت برنامه مورد نیاز برای اضافه کردن در پیام خطای پاسخ API باشید.

برای SDK های سمت مشتری ، به زیر مراجعه کنید:

نقشه های API JavaScript Maps: به کنسول اشکال زدایی مرورگر مراجعه کنید
برنامه های Android: از Android Debug Bridge (ADB) یا LogCat استفاده کنید
برنامه های iOS: مشاهده پیام های ورود به سیستم

برای بررسی محدودیت های API مورد نیاز خود ، به API هایی که از کلید API خود استفاده می کنند ، مراجعه کنید.

اگر قادر به تعیین محدودیت هایی نیستید:

محدودیت های فعلی را برای مرجع آینده مستند کنید.
در حین بررسی مسئله ، آنها را به طور موقت حذف کنید. می توانید با استفاده از مراحل استفاده از کلید API خود ، استفاده خود را به مرور زمان بررسی کنید.
در صورت لزوم ، با پشتیبانی تماس بگیرید .

کلیدهای API بلااستفاده را حذف کنید

قبل از حذف یک کلید API ، اطمینان حاصل کنید که از آن در تولید استفاده نمی شود. اگر ترافیک موفقی وجود نداشته باشد ، احتمالاً کلید حذف آن بی خطر است. برای اطلاعات بیشتر ، به استفاده از کلید API خود مراجعه کنید.

برای حذف یک کلید API:

صفحه اعتبارنامه پلتفرم Google Maps کنسول Google Cloud را باز کنید.
کلید API را که می خواهید حذف کنید انتخاب کنید.
دکمه حذف را در نزدیکی بالای صفحه انتخاب کنید.
در صفحه Delete Cretential ، Delete را انتخاب کنید.
حذف یک کلید API چند دقیقه طول می کشد تا پخش شود. پس از اتمام انتشار ، هرگونه ترافیک با استفاده از کلید API حذف شده رد می شود.

هنگام چرخش کلیدهای API خود مراقب باشید

چرخاندن یک کلید API یک کلید جدید ایجاد می کند که دارای محدودیت های کلید قدیمی است. در این پنجره زمانی ، هر دو کلید قدیمی و جدید پذیرفته شده اند و به شما فرصتی می دهند تا برنامه های خود را برای استفاده از کلید جدید مهاجرت کنید.

قبل از چرخش یک کلید API :

ابتدا سعی کنید کلیدهای API خود را محدود کنید همانطور که در کلیدهای API خود توضیح داده شده است.
اگر محدود کردن کلید API شما به دلیل انواع محدودیت های کاربردی متناقض امکان پذیر نیست ، به چندین کلیده جدید (محدود) مهاجرت کنید که در مهاجرت به کلیدهای API توضیح داده شده است. مهاجرت به شما امکان می دهد مهاجرت را کنترل کرده و جدول زمانی را به کلیدهای جدید API منتقل کنید.

اگر پیشنهادات قبلی امکان پذیر نیست ، و برای جلوگیری از استفاده غیرمجاز باید کلید API خود را بچرخانید ، سپس این مراحل را دنبال کنید:

صفحه اعتبارنامه پلتفرم Google Maps کنسول Google Cloud را باز کنید.
کلید API را که می خواهید بچرخانید باز کنید.
در بالای صفحه ، ROTATE KEY را انتخاب کنید.
به صورت اختیاری ، نام کلید API را تغییر دهید.
ایجاد را انتخاب کنید.
برنامه های خود را به روز کنید تا از کلید جدید استفاده کنید.

پس از به روزرسانی برنامه های خود برای استفاده از کلید جدید ، با کلیک روی دکمه حذف کلید قبلی در قسمت کلید قبلی صفحه کلید جدید API ، کلید قدیمی را حذف کنید.

به چندین کلید API مهاجرت کنید

برای مهاجرت از استفاده از یک کلید API برای چندین برنامه به یک کلید API منحصر به فرد برای هر برنامه ، موارد زیر را انجام دهید:

مشخص کنید که کدام برنامه ها به کلیدهای جدید نیاز دارند :
- برنامه های وب ساده ترین به روزرسانی هستند ، زیرا شما همه کد را کنترل می کنید. برای به روزرسانی تمام کلیدهای برنامه های مبتنی بر وب خود برنامه ریزی کنید.
- برنامه های تلفن همراه بسیار سخت تر است ، زیرا مشتریان شما باید قبل از استفاده از کلیدهای جدید ، برنامه های خود را به روز کنند.
کلیدهای جدید را ایجاد و محدود کنید : هم محدودیت برنامه و هم حداقل یک محدودیت API را اضافه کنید. برای اطلاعات بیشتر ، به بهترین روشهای پیشنهادی مراجعه کنید.
کلیدهای جدید را به برنامه های خود اضافه کنید : برای برنامه های تلفن همراه ، این روند ممکن است ماه ها طول بکشد تا همه کاربران شما با کلید جدید API به آخرین برنامه بروزرسانی کنند.

نکته مهم: در حالی که می توانید کلیدهای API را پس از ایجاد و استفاده از آنها ، در برنامه های تلفن همراه (Android و iOS) ایمن کنید ، کلیدها تا زمانی که مشتریان برنامه های خود را به روز کنند جایگزین نمی شوند. به روزرسانی یا جایگزینی کلیدها در برنامه های JavaScript یا سرویس وب بسیار ساده تر است ، اما هنوز هم ممکن است نیاز به برنامه ریزی دقیق و کار سریع داشته باشد. برای اطلاعات بیشتر ، ببینید که آیا در حال محدود کردن یا بازسازی یک کلید API که در حال استفاده است یا خیر .

از برنامه ها با استفاده از API های وب استاتیک محافظت کنید

API های وب استاتیک ، مانند نقشه های استاتیک API و Street View Static API ، مشابه تماس های API سرویس وب هستند.

شما هر دو را با استفاده از API HTTPS REST تماس می گیرید ، و به طور معمول API را که هر دو با استفاده از API HTTPS REST تماس می گیرید ، تولید می کنید ، و به طور معمول URL درخواست API را روی سرور تولید می کنید. با این حال ، به جای بازگشت یک پاسخ JSON ، API های وب استاتیک تصویری تولید می کنند که می توانید در کد HTML تولید شده جاسازی کنید. مهمتر از همه ، این به طور کلی مشتری کاربر نهایی است ، نه سرور ، که به سرویس پلت فرم Google Maps می پردازد.

از امضای دیجیتال استفاده کنید

به عنوان بهترین روش ، همیشه علاوه بر کلید API از امضاهای دیجیتال استفاده کنید. همچنین ، چند درخواست بدون امضا را که می خواهید در روز اجازه دهید بررسی کنید و سهمیه درخواست بدون امضا را بر این اساس تنظیم کنید .

برای اطلاعات بیشتر در مورد امضاهای دیجیتال ، به راهنمای امضای دیجیتال مراجعه کنید.

از راز امضای خود محافظت کنید

برای محافظت از API های وب استاتیک ، اسرار امضای API خود را مستقیماً در کد یا در درخت منبع جاسازی نکنید و آنها را در برنامه های سمت مشتری قرار دهید. این بهترین روشها را برای محافظت از اسرار امضای خود دنبال کنید:

درخواست های خود را به سمت سرور امضا کنید ، نه بر روی مشتری . اگر طرف مشتری را در JavaScript انجام دهید ، آن را در معرض هر کسی که از سایت شما بازدید می کند ، قرار می دهید. بنابراین ، برای تصاویر تولید شده به صورت پویا ، همیشه نقشه های امضا شده خود را API و Street View Static Static API درخواست URLS SERVES SERVES SERVES هنگام ارائه صفحه وب ایجاد کنید. برای محتوای وب استاتیک ، می توانید از ویجت URL Now Now در صفحه Cloud Console Google Maps Platforms استفاده کنید.
اسرار امضا را در خارج از کد منبع برنامه و درخت منبع خود ذخیره کنید . اگر اسرار امضای خود را یا هرگونه اطلاعات خصوصی دیگر را در متغیرهای محیط قرار دهید یا پرونده هایی را که به طور جداگانه ذخیره می شوند ، درج کنید و سپس کد خود را به اشتراک بگذارید ، پس از آن اسرار در پرونده های مشترک گنجانده نشده است. اگر اسرار امضای یا هر اطلاعات خصوصی دیگر را در پرونده ها ذخیره می کنید ، پرونده ها را در خارج از درخت منبع برنامه خود نگه دارید تا اسرار امضای خود را از سیستم کنترل کد منبع خود دور نگه دارید. اگر از یک سیستم مدیریت کد منبع عمومی مانند GitHub استفاده کنید ، این احتیاط از اهمیت ویژه ای برخوردار است.

با استفاده از خدمات وب از کلید API خود در برنامه ها محافظت کنید

کلیدهای API را در خارج از کد منبع برنامه یا درخت منبع خود ذخیره کنید . اگر کلیدهای API یا هر اطلاعات دیگری را در متغیرهای محیط قرار دهید یا پرونده هایی را که به طور جداگانه ذخیره می شوند ، وارد کنید و سپس کد خود را به اشتراک بگذارید ، کلیدهای API در پرونده های مشترک گنجانده نشده اند. این امر به ویژه در صورت استفاده از سیستم مدیریت کد منبع عمومی مانند GitHub مهم است.

از کلید API خود محافظت کنید و راز را در برنامه های تلفن همراه با استفاده از خدمات وب یا API های وب استاتیک امضا کنید

برای محافظت از برنامه های تلفن همراه ، از یک سرور Secure Store یا Secure Proxy Server استفاده کنید: {:#پروکسی-سرور} برای محافظت از برنامه های تلفن همراه ، از یک کلید اصلی یا سرور پراکسی ایمن استفاده کنید:

کلید API یا راز امضا را در یک کلید اصلی امن ذخیره کنید . این مرحله ، خراش دادن کلیدهای API و سایر داده های خصوصی را مستقیماً از برنامه سخت تر می کند.
از یک سرور پراکسی ایمن استفاده کنید . سرور پروکسی یک منبع محکم برای تعامل با API مناسب Google Maps Platform فراهم می کند. برای کسب اطلاعات بیشتر در مورد استفاده از سرور پروکسی ، به Living Vicariourse مراجعه کنید: استفاده از سرورهای پروکسی با کتابخانه های مشتری Google Data API
- درخواست های پلتفرم Google Maps خود را بر روی سرور پروکسی بسازید. به مشتریان اجازه ندهید تماس های API دلخواه را با استفاده از پروکسی رله کنند.
- پس از پردازش پاسخ های پلت فرم Google Maps در سرور پروکسی شما. داده هایی را که مشتری به آن احتیاج ندارد فیلتر کنید.
مهم: همیشه برای دسترسی مشتری به سرورهای پروکسی نیاز به تأیید اعتبار دارد.

برای ایمن کردن کلید API خود از برنامه چک استفاده کنید

برخی از نقشه های SDK و API به شما امکان می دهند تا با بررسی برنامه Firebase ادغام شوید. برنامه بررسی ، با مسدود کردن ترافیکی که از منابع دیگری غیر از برنامه های قانونی حاصل می شود ، از تماس های برنامه شما به پلت فرم Google Maps محافظت می کند. این کار را با بررسی یک نشانه از ارائه دهنده تأیید انجام می دهد. ادغام برنامه های خود با برنامه بررسی برنامه به محافظت در برابر درخواست های مخرب کمک می کند ، بنابراین شما برای تماس های API غیرمجاز هزینه نمی کنید.

دستورالعمل های ادغام برنامه:

استفاده غیرمجاز از یک کلید API را کنترل کنید

اگر استفاده از کلید API خود را که غیرمجاز است ، تشخیص دهید ، موارد زیر را برای حل مشکل انجام دهید:

کلیدهای خود را محدود کنید : اگر در چندین برنامه از همان کلید استفاده کرده اید ، به چندین کلید API مهاجرت کنید و از کلیدهای API جداگانه برای هر برنامه استفاده کنید. برای جزئیات بیشتر، نگاه کنید به:
اگر از مکان های SDK یا Maps JavaScript API استفاده می کنید ، می توانید از برنامه Check برای ایمن کردن کلید API خود نیز استفاده کنید .
اگر یکی از موارد زیر صحیح است ، فقط کلیدها را جایگزین کنید یا بچرخانید:
- استفاده غیرمجاز روی کلیدهایی که یا نمی توانند محدود شوند یا از قبل محدود شده اند ، شناسایی می شود و بررسی برنامه کاربردی نیست.
- شما می خواهید سریعتر حرکت کنید تا کلید API خود را تأمین کنید و سوء استفاده را متوقف کنید.
هنگام چرخش کلیدهای API قبل از ادامه ، از طریق بخش را بخوانید.
اگر هنوز مشکل دارید یا به کمک نیاز دارید ، با پشتیبانی تماس بگیرید .

محدودیت های کاربردی و API توصیه شده

بخش های زیر محدودیت های برنامه و API مناسب را برای هر سیستم API ، SDK یا سرویس پلت فرم Google Maps ارائه می دهد.

محدودیت های API توصیه شده

دستورالعمل های زیر برای محدودیت های API برای کل پلت فرم Google Maps اعمال می شود:

کلید API خود را فقط به API هایی که از آن استفاده می کنید محدود کنید ، با استثنائات زیر:

اگر برنامه شما از مکان های SDK برای Android یا SDK برای iOS استفاده می کند ، به API مکان ها اجازه دهید.
اگر برنامه شما از نقشه های JavaScript API استفاده می کند ، همیشه آن را در کلید خود مجاز کنید.
اگر از هر یک از نقشه های زیر از خدمات API JavaScript استفاده می کنید ، علاوه بر این باید API های زیر را نیز مجاز کنید:

خدمات	محدودیت API
خدمات مسیرها ، نقشه های JavaScript API (میراث)	مسیرها API (میراث)
سرویس ماتریس از راه دور ، نقشه های JavaScript API (میراث)	API ماتریس فاصله (میراث)
سرویس ارتفاع ، نقشه های JavaScript API	Elevation API
سرویس GeoCoding ، نقشه API JavaScript	API کدگذاری جغرافیایی
کتابخانه مکان‌ها، Maps JavaScript API	مکان های API

چند نمونه:

شما از نقشه SDK برای Android استفاده می کنید و SDK را برای Android قرار می دهید ، بنابراین نقشه SDK را برای Android و API به عنوان محدودیت API قرار می دهید.
وب سایت شما از MAPS JavaScript API Elevation Service و API Static Maps استفاده می کند ، بنابراین محدودیت های API را برای همه API های زیر اضافه می کنید:
- Maps JavaScript API
- Elevation API
- Maps Static API

محدودیت برنامه توصیه شده

وب سایت هایی با نقشه JavaScript API یا API وب استاتیک

برای وب سایت هایی که از نقشه های JavaScript یا API های وب استاتیک استفاده می کنند ، از محدودیت برنامه Websites استفاده کنید.

برای وب سایت ها با استفاده از این خدمات JavaScript و API ها استفاده کنید:

¹ برای برنامه های کاربردی تلفن همراه ، استفاده از نقشه های بومی SDK را برای Android و نقشه SDK برای iOS در نظر بگیرید.

² همچنین از برنامه های تلفن همراه با استفاده از سرویس وب یا API های استاتیک استفاده کنید .

وب سایت هایی با نقشه های تعبیه شده API

در حالی که استفاده از API نقشه های تعبیه شده هیچ هزینه ای ندارد ، شما هنوز هم باید کلید API استفاده شده را برای جلوگیری از سوءاستفاده از سایر خدمات محدود کنید.

بهترین تمرین : یک کلید API جداگانه برای نقشه های API تعبیه شده ایجاد کنید و این کلید را فقط در نقشه های تعبیه شده API محدود کنید. این محدودیت به اندازه کافی کلید را تضمین می کند و از استفاده غیرمجاز آن در هر سرویس Google دیگر جلوگیری می کند.

اگر قادر به جدا کردن استفاده از API نقشه های خود در یک کلید API جداگانه نیستید ، با استفاده از محدودیت برنامه Websites ، کلید خود را ایمن کنید.

برنامه ها و سرورها با استفاده از خدمات وب

برای برنامه ها و سرورهای با استفاده از سرویس های وب ، از محدودیت برنامه IP addresses استفاده کنید.

برای برنامه ها و سرورها با استفاده از این API ها استفاده کنید:

³ برای برنامه های کاربردی تلفن همراه ، استفاده از مکان های بومی SDK را برای Android و SDK را برای iOS در نظر بگیرید.

برنامه های اندروید

برای برنامه های موجود در Android ، از محدودیت برنامه Android apps استفاده کنید. برای برنامه ها و سرورها با استفاده از این SDK ها استفاده کنید:

علاوه بر این ، با استفاده از افزونه Secrets Gradle ، به طور تصادفی از بررسی کلیدهای API در کنترل نسخه جلوگیری کنید تا اسرار از یک فایل محلی را وارد کنید و نه ذخیره آنها در مانیفست Android.

برنامه های iOS

برای برنامه های موجود در iOS ، از محدودیت برنامه iOS apps استفاده کنید. برای برنامه ها و سرورها با استفاده از این SDK ها استفاده کنید:

اطلاعات مرتبط

برنامه ها و پروژه هایی که از API ها و SDK های پلت فرم Google Maps استفاده می کنند ، باید از کلیدهای API یا در صورت پشتیبانی از OAUTH 2.0 استفاده کنند تا خود را تأیید کنند. برای جلوگیری از استفاده غیرمجاز ، کلیدهای API را محدود کنید. شما از نظر مالی مسئولیت اتهامات ناشی از سوء استفاده از کلیدهای API نامحدود را بر عهده دارید.

این بهترین شیوه ها به شما نشان می دهد که چگونه آنها را محدود کنید.

علاوه بر استفاده از محدودیت های اصلی برنامه و API ، هرگونه روش امنیتی را که در مورد محصولات خاص پلت فرم Google Maps اعمال می شود ، دنبال کنید. به عنوان مثال ، نقشه های API JavaScript را در زیر در برنامه های توصیه شده و محدودیت های API مشاهده کنید.

اگر کلیدهای API شما در حال استفاده هستند ، توصیه های زیر را در صورت محدود کردن یا بازسازی یک کلید API که در حال استفاده است ، بررسی کنید.

برای اطلاعات بیشتر در مورد امضاهای دیجیتال ، به راهنمای امضای دیجیتال مراجعه کنید.

بهترین روشهای توصیه شده

برای افزایش امنیت و برای جلوگیری از صورتحساب برای استفاده غیرمجاز ، این بهترین روشهای امنیتی API را برای همه API ها ، SDK ها یا خدمات پلت فرم Google Maps دنبال کنید:

برای همه استفاده های کلید API توصیه می شود

کلیدهای API خود را محدود کنید

برای هر برنامه از کلیدهای API جداگانه استفاده کنید

کلیدهای API بلااستفاده را حذف کنید

استفاده از کلید API خود را بررسی کنید

هنگام چرخش کلیدهای API مراقب باشید

توصیه های اضافی برای وب سایت ها با استفاده از API های وب استاتیک

از برنامه ها با استفاده از API های وب استاتیک محافظت کنید

توصیه های اضافی برای برنامه ها با استفاده از خدمات وب

از برنامه ها با استفاده از خدمات وب محافظت کنید

توصیه های اضافی برای برنامه های کاربردی تلفن همراه iOS و Android

از برنامه های تلفن همراه با استفاده از سرویس وب یا API های وب استاتیک محافظت کنید

اگر در حال محدود کردن یا بازسازی یک کلید API هستید که در حال استفاده است

قبل از تغییر کلید API ، بررسی کلید API خود را بررسی کنید ، اگر بعد از استفاده از کلید ، محدودیت هایی را اضافه می کنید ، این مرحله به ویژه مهم است.
پس از تغییر کلید ، تمام برنامه های خود را با کلیدهای جدید API به روز کنید ، در صورت لزوم.
اگر سوءاستفاده فعال از کلید API خود وجود ندارد ، می توانید برنامه های خود را با سرعت خود به چندین کلید جدید API منتقل کنید ، و کلید اصلی API را دست نخورده باقی می مانند تا اینکه فقط یک نوع ترافیک را مشاهده کنید ، که می توانید کلیدهای API را با محدودیت کاربرد محدود کنید. برای دستورالعمل های بیشتر ، به مهاجرت به چندین کلید API مراجعه کنید.
استفاده را به مرور زمان کنترل کنید و ببینید چه زمانی API های خاص ، انواع پلتفرم و دامنه ها قبل از انتخاب محدود کردن یا حذف کلید قدیمی ، از کلید قدیمی API مهاجرت کرده اند. برای اطلاعات بیشتر ، به گزارشگری و نظارت و معیارها مراجعه کنید
اگر کلید API شما به خطر افتاده است ، می خواهید سریعتر حرکت کنید تا کلید API خود را تأمین کرده و سوء استفاده را متوقف کنید. در برنامه های Android و iOS ، کلیدها تا زمانی که مشتریان برنامه های خود را به روز کنند جایگزین نمی شوند. به روزرسانی یا جایگزینی کلیدها در برنامه های JavaScript یا وب سرویس بسیار ساده تر است ، اما هنوز هم ممکن است نیاز به برنامه ریزی دقیق و کار سریع داشته باشد.
برای اطلاعات بیشتر ، به استفاده غیرمجاز از یک کلید API مراجعه کنید.

کلیدهای API خود را محدود کنید

محدودیت برنامه شما می توانید استفاده از یک کلید API را در سیستم عامل های خاص محدود کنید: برنامه های Android یا iOS یا وب سایت های خاص برای برنامه های سمت مشتری ، یا آدرس های IP خاص یا زیر شبکه های CIDR برای برنامه های سمت سرور صدور سرویس وب REST API.
شما یک کلید را با اضافه کردن یک یا چند محدودیت کاربردی از انواع مورد نظر برای مجاز بودن محدود می کنید ، پس از آن فقط درخواست های منشاء این منابع مجاز است.
توجه: اگر محدودیت برنامه را روی یک کلید API قرار دهید ، نمی توانید از آن در سیستم عامل های دیگر استفاده کنید. به عنوان مثال ، اگر کلید API را فقط به برنامه های Android محدود کنید ، نمی توانید از آن با iOS ، خدمات وب یا API های JavaScript استفاده کنید.
محدودیت های API شما می توانید محدود کنید که API ها ، SDK ها یا خدماتی که از روی کلید API شما استفاده می شود ، می توانید از سیستم Google Maps استفاده کنید. محدودیت های API فقط درخواست هایی را به API ها و SDK هایی که مشخص می کنید اجازه می دهد. برای هر کلید API داده شده ، می توانید در صورت لزوم محدودیت های API را مشخص کنید. لیست API های موجود شامل کلیه API های فعال شده در یک پروژه است.
نکته مهم: اطمینان حاصل کنید که API ها یا SDK هایی که شما در آن محدود می کنید کلید API خود را از نوع محدودیت های کاربردی که تعیین کرده اید پشتیبانی می کنند. به عنوان مثال ، اگر کلید را با محدودیت iOS پیکربندی می کنید ، حتماً API خود را که قصد استفاده از کلید را دارید با iOS موجود است.

محدودیت برنامه را برای یک کلید API تنظیم کنید

صفحه اعتبارنامه پلتفرم Google Maps کنسول Google Cloud را باز کنید.
کلید API را که می خواهید محدود کنید انتخاب کنید.
در صفحه کلید ویرایش API ، تحت محدودیت های اصلی ، تنظیم یک محدودیت برنامه را انتخاب کنید.

یکی از انواع محدودیت ها را انتخاب کنید و اطلاعات درخواستی را در لیست محدودیت ها ارائه دهید.

نوع محدودیت	توضیحات
وب سایت ها	یک یا چند وب سایت مراجعه کننده را مشخص کنید. طرح های URI ارجاع دهنده با پشتیبانی جهانی `https` و `http` هستند. همیشه URI مراجعه کننده کامل ، از جمله طرح پروتکل ، نام میزبان و درگاه اختیاری را ارائه دهید (به عنوان مثال ، `https://google.com` ). می توانید از شخصیت های Wildcard استفاده کنید تا به همه زیر دامنه ها اجازه دهید. به عنوان مثال ، `https://.google.com` تمام سایتهای پایان یافته را در `.google.com` می پذیرد. توجه داشته باشید که اگر www.domain.com را مشخص کنید ، به عنوان یک کارت وحشی www.domain.com/ عمل می کند و هرگونه فرعی را در این نام میزبان مجاز می کند. به عنوان مثال ، در هنگام مجاز بودن مراجعه کنندگان به صورت کامل ، به عنوان مثال ، `https://google.com/some/path` ، به طور پیش فرض ، بیشتر مرورگرها مسیر را از درخواست های متقاطع استفاده می کنند.
آدرس های IP	Specify one or more IPv4 or IPv6 addresses, or subnets using CIDR notation. The IP addresses must match the source address the Google Maps Platform servers observe. If you use network address translation (NAT) , this address typically corresponds to your machine's public IP address.
برنامه های اندروید	Add the Android package name (from the `AndroidManifest.xml` file) and the SHA-1 signing certificate fingerprint of each Android application you want to authorize. If you use Play App Signing , to fetch the signing certificate fingerprint, see Working with API Providers . If you manage your own signing key, see Self-signing your application or refer to the instructions for your build environment.
برنامه های iOS	Add the bundle identifier of each iOS application you want to authorize.

For recommendations for an application restriction, see Recommended application Restriction .

ذخیره را انتخاب کنید.

Set API restrictions for an API key

صفحه اعتبارنامه پلتفرم Google Maps کنسول Google Cloud را باز کنید.
کلید API را که می خواهید محدود کنید انتخاب کنید.
On the Edit API key page , under API restrictions :
- Select Restrict key .
- Open Select APIs and select the APIs or SDKs you want your application to access using the API key.
If an API or SDK is not listed, you need to enable it. For details, see To enable one or more APIs or SDKs .
ذخیره را انتخاب کنید.
The restriction becomes part of the API key definition after this step. Be sure you provide the appropriate details and select Save to save your API key restrictions. For further information, see the Get an API Key guide in the documentation for the specific API or SDK you are interested in.

For recommended API restrictions, see Recommended API Restrictions .

Check your API key usage

If you're restricting API keys after they've been created, or if you want to see what APIs are being used by a key so you can restrict them, you want to check your API key usage. These steps show you in which services and API methods an API key is being used. If you see any usage beyond Google Maps Platform services, investigate to determine if you need to add more restrictions to avoid unwanted use. You can use the Google Maps Platform Cloud Console Metrics explorer to help determine which API and application restrictions to apply to your API key:

Determine the APIs that use your API key
Choose the correct type of application restriction using the Metrics explorer

Determine the APIs that use your API key

The following metrics reports allow you to determine which APIs are using your API keys. Use these reports to do the following:

See how your API keys are used
Spot unexpected usage
Help verify if an unused key is safe to delete. For information about deleting an API key, see Delete unused API keys .

When applying API restrictions, use these reports to create a list of APIs to authorize, or to validate automatically-generated API key restriction recommendations. For more information about recommended restrictions, see Apply recommended restrictions . For more information about using the Metrics explorer, see Create charts with Metrics explorer .

Go to the Google Cloud console's Metrics explorer
Sign in and select the project for the API keys you want to check.
Go to the Metrics explorer page for your type of API:
- For API keys using any API except the Maps Embed API : Go to Metrics explorer page.
- For API keys using Maps Embed API : Go to Metrics Explorer .
Inspect each API key:
1. Select ADD FILTER .
2. Select the label credential_id .
3. Select the value corresponding to the key you want to inspect.
4. Note which APIs this API key is being used for, and confirm the use is expected.
5. Once done, select Remove filter at the end of the active filter line to delete the extra filter.
Repeat for any remaining keys.
Restrict your API keys to only the APIs that are being used.
If you spot unauthorized use, see Handle unauthorized use of an API key .

Choose the correct type of application restriction using the Metrics explorer

After you have verified and taken any needed actions to ensure your API key is only used for the Google Maps Platform services it is using, also ensure the API key has the correct application restrictions.

If your API key has recommended API key restrictions, apply them. For more information, see Apply recommended API key restrictions .

If your API key doesn't have restriction recommendations, determine the type of application restriction to apply, based on the reported platform_type using the Metrics explorer:

Go to the Google Cloud console's Metrics explorer
Sign in and select the project for the APIs you want to check.
Go to this Metrics explorer page: Metrics explorer .
Inspect each API key:
1. Select ADD FILTER .
2. Select the label credential_id .
3. Select the value corresponding to the key you want to inspect.
4. Once done, select Remove filter at the end of the active filter line to delete the extra filter.
Repeat for any remaining keys.
Once you have the platform type for your API keys, apply the application restriction for that platform_type :
PLATFORM_TYPE_JS : Apply Website restrictions on the key.
PLATFORM_TYPE_ANDROID : Apply Android application restrictions on the key.
PLATFORM_TYPE_IOS : Apply iOS application restrictions on the key.
PLATFORM_TYPE_WEBSERVICE : You may have to rely IP address restrictions on the key, to properly restrict it. For further options for Maps Static API and Street View Static API, see Protect apps using Static Web APIs . For further instructions for Maps Embed API, see Websites with the Maps Embed API .
My API key is using multiple platform types : Your traffic can't be properly secured with just a single API key. You need to migrate to multiple API keys. For more information, see Migrate to multiple API keys .

Use separate API keys for each app

This practice limits the scope of each key. If one API key is compromised, you can delete or rotate the impacted key without needing to update your other API keys. You can create up to 300 API keys per project. For more information, see Limits on API keys .

While one API key per application is ideal for security purposes, you can use restricted keys on multiple apps as long as they use the same type of application restriction.

Apply recommended API key restrictions

For some project owners and editors, the Google Cloud console suggests specific API key restrictions to unrestricted API keys based on their Google Maps Platform usage and activity.

If available, recommendations appear as pre-filled options on the ** Google Maps Platform Credentials** page.

Reasons you may not see a recommendation, or an incomplete one

You are (also) using the API key on other than Google Maps Platform services. If you see usage on other services, don't apply the recommendation without first doing the following:
1. Verify that the API usage you see in the Google Cloud console Metrics explorer is legitimate.
2. Manually add missing services to the list of APIs to be authorized.
3. Manually add any missing application restrictions for the services added to the API list. If your other added would require a different type of application restrictions, see Migrate to multiple API keys .
Your API key is not used in client-side SDKs or APIs.
You use the API key in a low-volume app or website that has not seen usage over the last 60 days.
You have created a new key very recently, or you have very recently deployed an existing key in a new app. If this is the case, just wait a few more days to allow the recommendations to update.
You are using the API key in multiple applications that would require conflicting types of application restrictions, or you are using the same API key in too many different apps or websites. In either case, as a best practice, you should migrate to multiple keys. For more details, see Migrate to multiple API keys .

Reasons you might see recommendations that are not visible in the charts

Your app or website sent only very short traffic bursts. In this case, switch from a CHART view to display a TABLE or BOTH , as the usage is still visible in the legend. For more information, see Toggling the chart's full legends .
Your traffic is from the Maps Embed API. For instructions, see Determine the APIs that use your API key .
The traffic from the app or website is outside the date range available in the Google Cloud console Metrics explorer.

To apply recommended restrictions

صفحه اعتبارنامه پلتفرم Google Maps کنسول Google Cloud را باز کنید.
If available, select Apply recommended restrictions .
Note : If you don't see any recommended restrictions, see Set API restrictions for an API key to set appropriate restrictions.
Select Check API usage to verify which services the API key is being used on. If you see other than Google Maps Platform services, pause to manually review the recommendation steps above. See the troubleshooting steps at the beginning of section Apply recommended API key restrictions .
Double-check that the pre-filled restrictions match the websites and apps where you expect to use your API key.
Best Practice : Document and remove any application or API restrictions that are not affiliated with your services. If something breaks due to an unexpected dependency, then you can add the required apps or APIs back in.
- If you recognize that an app, website or API is clearly missing from your recommendation, add it manually or wait a couple of days to allow the recommendation to update.
- If you need further help with your suggested recommendation, contact support .
Apply را انتخاب کنید.

What to do if your application gets rejected after applying a recommendation

If you notice that an app or website gets rejected after applying a restriction, look for the application restriction you need to add in the API response error message.

For client-side SDKs, see below:

Maps JavaScript API apps: see the browser debug console
Android apps: use Android Debug Bridge (adb) or Logcat
iOS apps: see Viewing Log Messages

To check your required API restrictions, see Determine the APIs that use your API key .

If you are unable to determine which restrictions to apply:

Document the current restrictions for future reference.
Remove them temporarily while you investigate the issue. You can check your usage over time using the steps in Check your API key usage .
If needed, contact support .

Delete unused API keys

Before you delete an API key, make sure that it is not used in production. If there is no successful traffic, the key is likely safe to delete. For more information, see Check your API key usage .

To delete an API key:

صفحه اعتبارنامه پلتفرم Google Maps کنسول Google Cloud را باز کنید.
Select the API key you want to delete.
Select the Delete button near the top of the page.
On the Delete credential page, select Delete .
Deleting an API key takes a few minutes to propagate. After propagation completes, any traffic using the deleted API key is rejected.

Be careful when rotating your API keys

Rotating an API key creates a new key that has all the old key's restrictions. During this time window, both the old and new key are accepted, giving you a chance to migrate your apps to use the new key.

Before rotating an API key :

First try to restrict your API keys as described in Restrict your API keys .
If restricting your API key is not possible due to conflicting application restriction types, migrate to multiple new (restricted) keys as described in Migrate to multiple API keys . Migrating lets you control the migration and roll out timeline to the new API keys.

If the preceding suggestions aren't possible , and you must rotate your API key to prevent unauthorized use, then follow these steps:

صفحه اعتبارنامه پلتفرم Google Maps کنسول Google Cloud را باز کنید.
Open the API key you want to rotate.
At the top of the page, select Rotate key .
Optionally, change the API key name.
ایجاد را انتخاب کنید.
Update your applications to use the new key.

After you have updated your applications to using the new key, delete the old key by clicking the Delete the previous key button under the Previous Key section of the new API key page.

Migrate to multiple API keys

To migrate from using one API key for multiple apps to a single unique API key for each app, do the following:

Identify which apps need new keys :
- Web apps are the easiest to update, since you control all of the code. Plan to update all of your web-based apps' keys.
- Mobile apps are much harder, since your customers must update their apps before the new keys can be used.
Create and restrict the new keys : Add both an application restriction and at least one API restriction. For more information, see Recommended best practices .
Add the new keys to your apps : For mobile apps, this process may take months until all of your users update to the latest app with the new API key.

Protect apps using Static Web APIs

Static Web APIs, such as the Maps Static API and Street View Static API, are similar to web service API calls.

You call both using an HTTPS REST API, and you typically generate the API You call both using an HTTPS REST API, and you typically generate the API request URL on the server. However, instead of returning a JSON response, Static Web APIs generate an image that you can embed in generated HTML code. More importantly, it is generally the end-user client , not the server, that calls the Google Maps Platform service.

Use a digital signature

As a best practice, always use digital signatures in addition to an API key. Also, review how many unsigned requests you want to allow per day and adjust your unsigned request quotas accordingly.

For more details about digital signatures, see the Digital Signature Guide .

Protect your signing secret

To protect Static Web APIs, don't embed your API signing secrets directly in code or in the source tree, or expose them in client-side applications. Follow these best practices for protecting your signing secrets:

Sign your requests server-side, not on the client . If you do the signing client-side in JavaScript, you expose it to anyone visiting your site. Therefore, for dynamically-generated images, always generate your signed Maps Static API and Street View Static API request URLs server-side when serving the web page. For static web content, you can use the Sign a URL now widget on the Cloud Console Google Maps Platform Credentials page.
Store signing secrets outside of your application's source code and source tree . If you put your signing secrets or any other private information in environment variables or include files that are stored separately and then share your code, then signing secrets are not included in the shared files. If you store signing secrets or any other private information in files, keep the files outside your application's source tree to keep your signing secrets out of your source code control system. This precaution is particularly important if you use a public source code management system, such as GitHub.

Protect your API key in apps using web services

Store API keys outside of your application's source code or source tree . If you put your API keys or any other information in environment variables or include files that are stored separately and then share your code, the API keys are not included in the shared files. This is particularly important if you use a public source code management system, such as GitHub.

Protect your API key and signing secret in mobile apps using web services or Static Web APIs

To protect mobile apps, use a secure keystore or secure proxy server:{:#proxy-server} To protect mobile apps, use a secure keystore or secure proxy server:

Store the API key or signing secret in a secure keystore . This step makes it harder to scrape API keys and other private data directly from the application.
Use a secure proxy server . The proxy server provides a solid source for interacting with the appropriate Google Maps Platform API. For more information about using a proxy server, see Living Vicariously: Using Proxy Servers with the Google Data API Client Libraries
- Construct your Google Maps Platform requests on the proxy server. Don't allow clients to relay arbitrary API calls using the proxy.
- Post-process the Google Maps Platform responses on your proxy server. Filter out data that the client doesn't need.
Important: Always require authentication for client access to the proxy servers.

Use App Check to secure your API key

Certain Maps SDKs and APIs allow you to integrate with Firebase App Check . App Check provides protection for calls from your app to Google Maps Platform by blocking traffic that comes from sources other than legitimate apps. It does this by checking for a token from an attestation provider. Integrating your apps with App Check helps to protect against malicious requests, so you're not charged for unauthorized API calls.

App Check integration instructions:

Handle unauthorized use of an API key

If you detect use of your API key that is unauthorized, do the following to address the problem:

Restrict your keys : If you've used the same key in multiple apps, migrate to multiple API keys, and use separate API keys for each app. برای جزئیات بیشتر، نگاه کنید به:
If you use the Places SDK or the Maps Javascript API, you can also use App Check to secure your API Key .
Only replace or rotate keys if one of the following is true:
- Unauthorized usage is detected on keys that either cannot be restricted or are already restricted, and App Check is not applicable,
- You want to move more quickly to secure your API key and stop the abuse.
Read through section Be careful when rotate API keys before proceeding.
If you are still having issues or need help, contact support .

Recommended application and API restrictions

The following sections suggest appropriate application and API restrictions for each Google Maps Platform API, SDK or service.

Recommended API Restrictions

The following guidelines for API restrictions apply to the entire Google Maps Platform:

Restrict your API key to only the APIs you are using it for, with the following exceptions:

If your app uses the Places SDK for Android or Places SDK for iOS, authorize the Places API.
If your app uses Maps JavaScript API, always authorize it on your key.
If you also use any of the following Maps JavaScript API services, you should in addition also authorize the following APIs:

خدمات	API restriction
Directions Service, Maps JavaScript API (Legacy)	Directions API (Legacy)
Distance Matrix Service, Maps JavaScript API (Legacy)	Distance Matrix API (Legacy)
Elevation Service, Maps JavaScript API	Elevation API
Geocoding Service, Maps JavaScript API	API کدگذاری جغرافیایی
کتابخانه مکان‌ها، Maps JavaScript API	Places API

چند نمونه:

You are using the Maps SDK for Android and Places SDK for Android, so you include the Maps SDK for Android and Places API as API restrictions.
Your website uses the Maps JavaScript API Elevation Service and the Maps Static API, so you add API restrictions for all of the following APIs:
- Maps JavaScript API
- Elevation API
- Maps Static API

Recommended application Restriction

Websites with Maps JavaScript API or Static Web API

For websites using Maps JavaScript services or Static Web APIs, use the Websites application restriction.

Use for websites using these JavaScript services and APIs:

¹ For mobile applications, consider using the native Maps SDK for Android and Maps SDK for iOS .

Websites with the Maps Embed API

While using the Maps Embed API is no charge, you should still restrict any used API key to prevent abuse on other services.

Best practice : Create a separate API key for Maps Embed API use, and restrict this key to only the Maps Embed API. This restriction sufficiently secures the key, preventing its unauthorized use on any other Google service.

If you are unable to separate your Maps Embed API usage to a separate API key, secure your key using the Websites application restriction.

Apps and servers using web services

For apps and servers using web services, use the IP addresses application restriction.

Use for apps and servers using these APIs:

³ For mobile applications, consider using the native Places SDK for Android and Places SDK for iOS .

برنامه های اندروید

For apps on Android, use the Android apps application restriction. Use for apps and servers using these SDKs:

In addition, prevent accidentally checking API keys into version control by using the Secrets Gradle Plugin to inject secrets from a local file rather than storing them in the Android Manifest.

برنامه های iOS

For apps on iOS, use the iOS apps application restriction. Use for apps and servers using these SDKs:

اطلاعات مرتبط

جز در مواردی که غیر از این ذکر شده باشد،‌محتوای این صفحه تحت مجوز Creative Commons Attribution 4.0 License است. نمونه کدها نیز دارای مجوز Apache 2.0 License است. برای اطلاع از جزئیات، به خطمشی‌های سایت Google Developers‏ مراجعه کنید. جاوا علامت تجاری ثبت‌شده Oracle و/یا شرکت‌های وابسته به آن است.

تاریخ آخرین به‌روزرسانی 2025-04-24 به‌وقت ساعت هماهنگ جهانی.