4

カード番号の検証とトランザクション挿入を提供する API サーバーを作成しています。

サンプル API URL = http://mydomain.com/api.json?cardnumber=2342343244&api_key=jhj67asd234tgbh123

既存のシステム: クライアント システム (ebay.com など) に API キーを提供しています。ユーザーが有効なカードを持っている場合、割引を提供しています。したがって、私のクライアントは、有効なカード番号を入力するためのフォーム フィールドをエンド ユーザーに提供します。

問題: 私のクライアントは、検証を処理するために私のドメインに ajax 要求を書き込んでいます。問題は、API キーがコンソールに表示され、誰でもクライアント システムの外部でリクエストを実行できることです (セキュリティの損失)。

システムを提案する:リクエストが安全に処理されるように、API キーが隠されているシステムを提案してください。解決策は、API を記述する他の方法である可能性があります。

API についての知識があまりありません。どんな助けでも大歓迎です。

4

1 に答える 1

0

私の経験では、これを行う簡単な方法はありません。

私が知っている唯一の方法は、クライアントにワンタイム キーを提供することです。使用するとすぐに有効期限が切れ、クライアントは新しいものを必要とします。

このように、単一のリクエストに対してのみ有効になるため、キーがコンソールに表示されても問題ありません。

それが役に立てば幸いですが、他の誰かが持っている提案について聞きたいです。

于 2013-06-11T10:46:10.717 に答える