javascript - 如何隐藏用Javascript编写的敏感数据？

Question

我开发了一个 Web 应用程序，它在 AngularJS 应用程序中使用 Google 登录。

由于 client_id 和 api_key 是用 Javascript 编写的，我认为即使仅使用浏览器的开发控制台也很容易找到它们。

显然可以“隐藏”JS 代码(例如 How can I obfuscate (protect) JavaScript? )，但我担心的是:这真的会让潜在攻击者无法访问 key 吗？

如果不是，这种情况下的最佳做法是什么？我听说过某种后端可以隐藏 JS 中编写的 key 。一种“网关”

顺便提一下，我关心的不仅仅是 Google API，还有我编写的所有代码，除非我决定这样做，否则我不希望这些代码成为“开源”

编辑:由于我不确定我的疑问是否完全清楚，这是我的实际问题

what methodology I can use to effectively prevent users "stealing" my keys? there exist any service which serves as gateway? shall I design one on my own?

Answer 1

does this really make impossible to a potential attacker to access the keys

您可以压缩它和/或混淆它，但只要您的应用程序需要纯 key ，此过程始终可逆。

all the code I write which I would like to not be "open source" unless I decide to do so

选择 JavaScript 作为您的语言并选择浏览器作为您的平台后，您已经决定走向开源。

您获得了代码的版权，因此您只需放入适当的许可证 header ，并且知道赚钱的公司不敢“直接破解”您的代码。只对你如何完成某些事情感兴趣的人不会经历逆转压缩和/或混淆的麻烦。

编辑:非公共(public) API key 通常绑定(bind)到指定的引用域。

To prevent your key from being used on unauthorized sites, only allow referrals from domains you administer.