これはおそらく一般的なセキュリティの質問ですが、私が開発しているものの領域で質問すると思いました.
シナリオは次のとおりです。API キーを使用して検証し、ユーザーが誰であるかを通知する Web サービス (WCF Web Api) と、フロント エンドでの jQuery とアプリケーションの組み合わせ。
一方では、トラフィックは https である可能性があるため検査できませんが、ユーザーごとに同じキー (GUID など) を使用し、両方で使用している場合、それが取得され、誰かがなりすます可能性があります。ユーザー。
OAuth に似たものを実装すると、ユーザーとアプリごとのキーが生成され、それが機能する可能性がありますが、それでも jQuery 側では、javascript でアプリ API キーが必要になります。
これは、誰かが実際のコンピューターにいて、ソースを表示した場合にのみ問題になります。
私は何をすべきか?
- md5 または何らかの方法でキーを暗号化しますか?
- キーをセッション変数に入れてから、ajaxを使用するときにそれを取得しますか?
- それを乗り越えてください、それはそれほど大きな問題/問題ではありません.
おそらくよくある問題だと思いますので、どんな指摘も歓迎します。
これを明確にするために-これは私が書いたAPIであり、Googleなどではなく、クエリを実行しています。したがって、セッショントークンごとに実行できます。クライアント側を保護するための最良の方法を見つけようとしています私が使用するトークン/キー。
ここでは少し慎重になりすぎていますが、これを使って学習しています。