Как лучше всего управлять секретами API в скрипте Google Apps?
Если я напишу сценарий приложений Google, и в этом сценарии мне нужно будет вызывать сторонние API-интерфейсы или выполнять вызовы базы данных, каков подходящий способ управления секретными ключами API и паролями?
Есть ли риск размещения секретов непосредственно в скрипте, если я публикую скрипт как API, но не делюсь доступом к местоположению Google Диска, содержащему скрипт Google Apps?
Также сохраните его в Свойства пользователя
@OP - Удалось ли вам найти лучшее решение, чем хранить его в скрипте?
@Anshu Prateek, к сожалению, единственная альтернатива - свойства пользователя. это не лучший солитон.
@Master_Yoda Почему свойства пользователя - не лучшее решение?
@IMTheNachoMan Одна причина: если вы поделитесь скриптом, все смогут увидеть свойства пользователя.
@Master_Yoda свойства UserProperties различаются для каждого пользователя. Если вы хотите иметь возможность поделиться сценарием, но все же держать его в секрете, вам может потребоваться опубликовать надстройку, которая позволит вам сохранить свой код в секрете, позволяя процессу быть открытым.
@Master_Yoda Нет, не пойдет. Свойства пользователя являются частными для пользователя, устанавливающего свойство.
@ Роб - Полезно знать. Тем не менее, к сожалению, это не помогает, потому что другие люди должны иметь возможность вызывать скрипт, когда я делюсь.
Поскольку это то, что делает Google, UserProperties устарели. Вздох.
Ответы 1
Нет правильного или неправильного ответа. Следует учитывать множество факторов:
- Если это для / в G-Suite, то ваши администраторы G-Suite будут иметь (или могут получить) доступ ко всему. Это может быть, а может и не быть проблемой.
- Если вы поместите данные на лист, любой, у кого есть доступ для чтения к листу, сможет увидеть данные.
- Вы можете использовать
PropertiesService, но тогда люди смогут получить доступ, как описано в документации. Свойства пользователя - это один из способов, но они могут работать не во всех случаях использования - например, если другой пользователь выполняет код. Вы можете использовать устанавливаемые триггеры, если это возможно для вашего варианта использования. - Если людям необходимо иметь возможность выполнять вызов API с вашим ключом, вы можете написать прокси-веб-приложение, которое они могут вызывать, но не видеть источник.
Например, как насчет использования веб-приложений в вашей ситуации? Я думаю, что вы можете использовать секретные ключи в скрипте веб-приложений. Примерный поток выглядит следующим образом. 1. Создайте сценарий с помощью скрипта Google Apps, включая секретные ключи. 2. Разверните его как веб-приложение. 3. Вы вызываете веб-приложения как API и извлекаете значения, запустив сценарий. В этом случае идентификатор, включающий конечную точку веб-приложений, не является идентификатором сценария, а также не требуется предоставлять общий доступ к сценарию. developers.google.com/apps-script/guides/web Если это было не то, что вам нужно, извините.