如何安全使用Google API密钥

所以我在我做的第一个项目上使用谷歌地图应用编程接口...所以是的，我是新来的，如果这是基本的或显而易见的，我很抱歉，但是我还没有找到一个明确的答案或方向。下面是我从谷歌找到的关于安全使用API密钥的留档。

安全使用API密钥的最佳实践

在应用程序中使用API密钥时，请注意确保它们的安全。公开披露您的凭据可能会导致您的帐户被泄露，这可能会导致您的帐户发生意外费用。要确保API密钥的安全，请遵循以下最佳做法：

不要直接在代码中嵌入API密钥：嵌入代码中的API密钥可能会意外地暴露给公众——例如，如果您忘记从共享的代码中删除密钥。不要在应用程序中嵌入API密钥，而是将它们存储在环境变量或应用程序源代码树之外的文件中。不要将API密钥存储在应用程序源代码树内的文件中：如果将API密钥存储在文件中，请将文件保留在应用程序源代码树之外，以帮助确保密钥不会最终出现在源代码控制系统中。如果您使用GitHub等公共源代码管理系统，这一点尤其重要。将API密钥限制为仅由需要它们的IP地址、引用者URL和移动应用使用：通过限制可以使用每个密钥的IP地址、引用者URL和移动应用，可以减少受损API密钥的影响。可以通过打开凭据页，然后创建具有所需设置的新API密钥，或编辑API密钥的设置，指定可以从控制台使用每个密钥的主机和应用。删除不需要的API密钥：为了最大限度地减少受到攻击的风险，请删除不再需要的任何API密钥。定期重新生成API密钥：可以通过单击每个密钥的重新生成密钥，从Cloud Platform控制台凭据页重新生成API密钥。然后，更新应用程序以使用新生成的密钥。生成替换密钥后，旧密钥将继续工作24小时。在公开发布代码之前检查代码：在公开代码之前，确保代码不包含API密钥或任何其他私人信息。

现在我的问题是，我不知道如何将谷歌地图整合到我的网站上，而不直接把它放在代码中。现在我的API在我的index.html是这样的：

<script async defer
    src="https://maps.googleapis.com/maps/api/js?key=YOUR_API_KEY&callback=initMap">
</script>

但这也是我的代码中直接告诉全世界的，我认为这是错误的。