2

考虑一个网站使用付费分析包来跟踪用户在所述网站上的行为的用例。

在这种情况下,网站需要与分析提供商的 API 进行安全通信(所有客户端都通过 javascript)。

如何安全地做到这一点?根据我对各种身份验证协议的理解,始终需要一个秘密令牌来设置客户端和服务器之间的秘密握手。使用 oAuth1a,这一切都包含在 HMAC 等中,但仍然必须提供秘密。

鉴于:

  • 客户端必须在 javascript 中可以使用密码才能进行经过身份验证的调用
  • 客户端上的 javascript 显然可以被任何人检查

你将如何保守秘密?看来您不能,但是所有这些通过客户端 JS 进行通信的付费 3rd 方服务如何保证事情的安全呢?

4

1 回答 1

0

正如下面引用的答案所规定的那样,Google Maps API 似乎正在使用 HOST 标头执行此操作,显然(?)不能被欺骗。

谷歌地图如何保护他们的 API 密钥?如何制作类似的东西?.

因此,拥有一个使用地图的服务器端地图<apikey -> allowed HOST headers>就可以了。

于 2013-10-22T17:01:42.577 回答