8

ブロガー/ウェブサイトの所有者がインストールする JavaScript プラグインを作成しています。リモート API と通信します。

サービスにアカウントを登録したユーザーが所有するドメインのみが API からリソースにアクセスできるように、API を保護する方法を考えています。OAuth2 を読んで基本を理解しましたが、プラグインはサーバー間ではなくブラウザー内から実行されるため、これがどれほど安全かはわかりません。

mixpanel、google analytics、olark などの多くのサービスが同じ概念を使用しているため (つまり、Web サイトの所有者がサイトに一連の JS をインストールする)、解決済みの問題である必要があります。

4

1 に答える 1

3

スクリプトにチェックを挿入window.locationして、他の人がサーバーから直接スクリプトを含めないようにすることができます。

ただし、人々がスクリプトをローカルにダウンロードし、保護を解除して自分でホストすることを防ぐことはできません。

すべてのサーバー側リクエストで API キーを要求できますが、敵は正当なサイトから API キーを簡単に盗むことができます。

于 2012-05-15T15:29:41.143 に答える