我目前正在开发一个带有 api 的 php web 应用程序,以从跨平台和 web 访问用户数据。开发人员将能够使用 api 密钥和秘密从 api 获取和插入用户数据。它还将使用 HTTP 引用来确保调用是从注册的应用程序 url 发出的。但问题出在 javascript 中,其中 API KEY 和 Secret 将显示在“页面源”中。我在谷歌上搜索了它,然后我听说了“OAuth”。现在我不知道OAuth.i 搜索了它,但没有发现任何有用的东西。所以请任何人都可以告诉我如何创建安全的 PHP 和 Javascript API,什么是 OAuth,以及如何使用它来保护我的 api。
谢谢
1) HTTP referer 很容易被伪造,因此用于真实性检查存在很大的安全漏洞。2) API 密钥和秘密不得公开。如果您这样做,那么任何人都可以使用它们来伪造您的身份,例如窃取您用户的数据。
您可以做的是制作一个简单的 PHP 脚本,该脚本将为您想要使用的 Web 服务提供一个安全的通信网关。然后您可以使用 AJAX 在您的页面前端和 PHP 脚本之间建立一个通信通道,该脚本将向 Web 服务发出请求并返回结果。使用这种方式,您的 API 密钥和机密将存储在 PHP 脚本中,其中的内容不公开。
OAuth 的实现可能非常令人沮丧,但如果您的 Web 服务需要它的实现,那么您别无选择。