システムの負荷を監視するためにサーバーにデプロイできるAPIを構築しようとしています。
情報を表示するためにクライアントを実行する中央マネージャーサーバーに報告します。
私が苦労している問題は、APIを保護するのが最善です。
私が望んでいるのは、クライアントがサーバーにアクセスしてこの情報を取得できる唯一のソフトウェアであることですが、PHPを使用してこれを実現する方法がわかりません。
また、他の人がサーバーで使用できるようにAPIとクライアントを配布できるようにしたいので、他の人がAPIを使用している場合でも、他の人のデータにアクセスできないようにします。
クライアントもMySqlを使用してPHPで記述されており、安全なログインが可能です。
これは、間違った問題を解決しようとしているようです。
また、他の人がサーバーで使用できるようにAPIとクライアントを配布できるようにしたいので、他の人がAPIを使用している場合でも、他の人のデータにアクセスできないようにします。
これに対する唯一の正しい答えは認証です。各ユーザーに自分だけが知っているアクセス資格を与えることで、APIを保護する必要があります。
APIは、認証資格情報に従ってクライアントが表示することを許可されていないデータを決して公開してはなりません。どういうわけかクライアントを詮索好きな目から保護しようとすることでこの危険を回避しようとするのは安全ではありません-クライアントにアクセスでき、クライアントの実行を観察できる人は、十分な努力を払えば、クライアントとサーバー間のトラフィックをリバースエンジニアリングできます。
APIが適切に保護されている場合、APIへのアクセスにどのクライアントツールを使用するかは重要ではありません。特定のプログラムへのAPIアクセスを制限する要件はなくなります。
SSLを認証とともに使用する場合(サードパーティのauth google、fbなどを使用)、データ/レポートをその場で作成し、データをWebフォルダーの外部のサブディレクトリ(/ var / www、/ varではなく)に保存します/ myStorage / currentSessionId /)の場合、基本的に必要なセキュリティを保証します。
PHPは、実行中のセッションにちなんで名付けられたサブディレクトリにのみアクセスします。