4

我正在创建一个 API 服务器,它提供卡号验证和交易插入。

示例 API URL = http://mydomain.com/api.json?cardnumber=2342343244&api_key=jhj67asd234tgbh123

现有系统: 我正在为客户端系统(比如 ebay.com)提供一个 api 密钥。如果用户有一张有效的卡,我会提供折扣。因此,我的客户将向其最终用户提供一个表单字段以输入有效的卡号。

问题: 我的客户正在向我的域写入 ajax 请求以处理验证。问题是 api 密钥在控制台中可见,任何人都可以在客户端系统之外执行请求(安全损失)。

提议系统:请提议一个隐藏我的 api 密钥的系统,以便安全地处理请求。解决方案可以是任何其他编写 API 的方式。

我对API知之甚少。任何帮助将不胜感激。

4

1 回答 1

0

根据我的经验,没有一种简单的方法可以做到这一点。

我知道的唯一方法是为客户提供一次性密钥。一旦使用,它就会过期,客户将需要一个新的。

以这种方式,密钥在控制台中可见并不重要,因为它只对单个请求有效。

我希望这会有所帮助,但我很想听听其他人的任何建议。

于 2013-06-11T10:46:10.717 回答