Convalida il dominio del chiamante dell'API (o qualsiasi altra soluzione correlata)

-1

Sono abbastanza nuovo nella creazione di servizi usando PHP-cURL. Voglio offrire alcuni dati / servizi solo ai domini registrati. So che posso identificare questi domini usando l'ID app e le chiavi API per la crittografia dei dati.

Tuttavia, stavo pensando a diversi tipi di minacce. Cosa succede se alcuni dei miei clienti danno le loro credenziali ad un altro dominio? Come posso convalidare il dominio del chiamante (o qualsiasi altra soluzione) in modo che le credenziali vengano utilizzate solo da quel dominio? Ho davvero provato a rilevare il nome esatto del dominio che chiama il mio servizio, ma fallisco ogni volta, perché chiunque può impostare un nome di dominio falso nell'intestazione. Stavo pensando di usare l'IP, ma sarebbe una soluzione davvero complessa.

Inoltre, non voglio limitare le chiamate. Voglio solo essere sicuro di quale dominio sto dando dati.

    
posta jaydip sinh Parmar 14.08.2015 - 08:48
fonte

2 risposte

0

Mi avvicinerei a questo in 2 modi:

  1. Deterrenza : chiarisci ai tuoi clienti che questo è ileale e assicurati che sia ileale, ovvero che il contratto che firmano con te li vincoli a non pubblicare o distribuire le proprie credenziali.

  2. Mitigazione : puoi implementare il servizio in modo che il client richieda qualcosa e il tuo server restituisca immediatamente una risposta 200, chiude la comunicazione e quindi il tuo server quello che avvia una richiesta al cliente che invia le informazioni richieste prima. In questo modo si convalida la loro richiesta rispetto ai record dei server validi. Non è infallibile, ma rende più difficile per loro condividere le proprie credenziali.

risposta data 14.08.2015 - 11:31
fonte
0

Una possibilità sarebbe quella di utilizzare le informazioni DNS inverse basate sull'indirizzo IP di connessione.

Questo è ben lungi dall'essere un proiettile d'argento poiché i DNS inversi sono di solito personalizzabili. È inoltre possibile estendere il sistema e aggiungere una fase di convalida tramite e-mail. Quando rilevi un nuovo IP per un dominio noto, chiedi una convalida obbligatoria da parte del proprietario del dominio. Questo sarebbe comunque un problema se il tuo client usa IP che cambiano frequentemente.

Avere una quota sulle richieste è un buon incentivo per il cliente a non condividere le proprie credenziali, rischiano di essere bloccate e questo è negativo per i propri servizi, anche se la quota è elevata.

    
risposta data 14.08.2015 - 15:17
fonte

Leggi altre domande sui tag