0

私は、ユーザーがWebアプリに入れて、訪問者に提供できる埋め込み可能なjavascriptライブラリを構築しています。

訪問者はライブラリでアクションを実行できます。これにより、一部のデータがサーバーに戻されます。

訪問者に資格情報を漏らさずにライブラリを認証するにはどうすればよいですか?アクセス制御リストはドメインにロックされており、資格情報はまったく交換されていない推奨ソリューションですか?

私はここでこの質問を調べましたが、それは風変わりな解決策として提案されているようです:JavaScriptベースのPOSTリクエストを検証/保護/認証するにはどうすればよいですか?

4

1 に答える 1

2

他のAPIエンジンを見ると、それらのほとんどはAPIキー(たとえばGoogle)を使用しています。

APIキーは、サーバーシステムによって生成された値であり、元に戻せない方法でクレデンシャルを付与していると思います。

これは、たとえば、ドキュメントホストのドメイン(ページを要求するときに送信されるホストヘッダーを読み取るライブラリによって取得できます)とともに、サーバーでの認証に使用できます。

言い換えると、エンコードされたクレデンシャル(APIキー)+ドメインがロックされ、ライブラリからサーバーに送信されます。

于 2012-10-10T01:12:49.157 に答える