0

我正在构建一个可嵌入的 javascript 库,我的用户可以将其放入他们的网络应用程序中并将其提供给访问者。

访问者可以对库进行操作,这会触发一些数据返回到我的服务器。

如何在不向访问者泄露凭据的情况下对图书馆进行身份验证?将访问控制列表锁定到域是推荐的解决方案,根本不交换凭据吗?

我在这里看了一下这个问题,它似乎被建议为一个古怪的解决方案:如何验证/保护/验证基于 JavaScript 的 POST 请求?

4

1 回答 1

2

如果您查看其他 API 引擎,它们中的大多数都使用 API 密钥(例如 Google)。

我想,API 密钥只是服务器系统生成的值,它以不可逆的方式对凭证进行编码。

这与例如文档主机的域(可以通过读取请求页面时发送的主机标头的库来检索)一起可用于在您的服务器中进行身份验证。

换句话说:编码凭据(API 密钥)+ 由您的库发送到服务器的域锁定。

于 2012-10-10T01:12:49.157 回答