这相当棘手。我更喜欢服务器端密钥授权,但我们仅限于 JavaScript 实现。客户将使用一个 JavaScript 库,该库将请求某些数据——但该客户必须被授权才能使用这些数据。这就是授权部分的用武之地,它不涉及任何服务器端(在客户端)实现。
JavaScript 库正在我的服务器上请求数据,但并非所有客户都可以查看每条数据。这就是为什么我需要授权客户。
目前我只是在发送到服务器进行授权的 JavaScript 库中放置一个客户 ID。虽然这不是很安全,您可以简单地将这个 ID 复制到您自己的库中,以从服务器获取您通常无法检索的数据。
我不需要 100% 防水的解决方案,但我目前的实现只是纯粹的垃圾。由于解决方案需要纯 JavaScript,我知道会有很多方法来欺骗授权。我只需要一些最安全的授权,因为它只能通过 JavaScript 获得。任何想法?