Come limiti javascript api a un dominio?

2

Ok, molti di voi ora lo scenario: accedi a developer.sayLinkedIn.com, crea un'app con le credenziali e definisci il dominio in cui la chiave è abilitata a "eseguire". La domanda è, se possibile, dal punto di vista di un provider API: COME rendi una chiave inutile su domini diversi da quello che ti piace.

Ho api disponibili per il consumo sicuro in scenari di scripting lato server, e mi piacerebbe offrire un modo per consumarlo in modo sicuro sul lato client da una risorsa html pubblica statica, ma dal momento che è un API di utilizzo a pagamento e la chiave è seduta nel pubblico dominio si desidera che la chiave funzioni solo su IP dominio-siti definiti dall'utente.

    
posta user2712273 30.11.2013 - 22:45
fonte

1 risposta

2

Vorrei controllare l'intestazione di origine quando arriva la richiesta e confermare che il dominio che effettua la richiesta corrisponde a quello che hai associato alla chiave.

Ciò significa che dovrai monitorare l'associazione tra domini e chiavi dei clienti a pagamento per poterlo verificare.

Ricorda che l'intestazione di origine può essere falsificata se la richiesta viene effettuata usando qualcosa come curl, quindi mentre questa sarebbe una buona difesa contro le pagine web che usano la tua API senza permesso, qualcuno potrebbe aggirare la tua restrizione per il proprio personale utilizzare.

    
risposta data 30.11.2013 - 23:08
fonte

Leggi altre domande sui tag