8

我正在编写一个将由博主/网站所有者安装的 javascript 插件。它将与我的远程 API 进行通信。

我想知道如何保护 API 以确保只有注册了服务帐户的用户拥有的域才能访问 API 中的资源。我已经阅读了 OAuth2 并了解了基础知识,但是因为该插件将在浏览器中运行,而不是从服务器到服务器,所以我不确定这有多安全。

mixpanel、谷歌分析、olark 等大量服务使用相同的概念(即网站所有者在他们的网站上安装一行 JS),所以它必须是一个已解决的问题。

4

1 回答 1

3

您可以在脚本中插入window.location检查,以防止其他人直接将其包含在您的服务器之外。

但是,无法阻止人们在本地下载脚本、删除您的保护,然后自行托管。

您可以在所有服务器端请求中要求 API 密钥,但敌人很容易从合法站点窃取 API 密钥。

于 2012-05-15T15:29:41.143 回答