我有一个通过 servlet 向用户发送动态信息的网站。它是无状态的,没有登录。这个特定站点使用大量的 doPost() 和 doGet() 从客户端浏览器到服务器的调用。
我的问题是,如果有人阅读了我的源代码,他们可以轻松地撕掉我面向公众的 servlet URL,并以我的网络服务器为费用获得免费的 API。
我怎样才能防止这种情况发生?我可以在 JavaScript 和 Java 之间使用某种不会增加明显延迟的身份验证包吗?我只希望我网页上的用户能够调用面向公众的 servlet。
问问题
85 次
2 回答
1
两个想法:
- REFERRER HTTP 标头以确保客户端来自授权来源
- 要求您服务的授权用户提供与其网站相关联的 API 密钥。
于 2013-02-13T23:10:44.320 回答
1
不是专家,但这可能会有所帮助: http: //oauth.net/我知道像 twitter 这样的大型网络 API 使用它。
于 2013-02-14T00:58:57.427 回答