使用 PHP,您如何使用以下标准安全地验证API 调用、跨域:
- 必须从给定的 domain.com/page 调用(没有其他域)
- 必须有一个给定的密钥
一些背景知识:回答前请仔细阅读...
我的 Web 应用程序将通过如下调用在客户的网站上显示一个 javascript 小部件。因此,我们谈论的是跨域身份验证的脚本,但仅针对真正的客户端和给定的 URL!
目前,小部件可以通过单行 javascript 包含在客户的网站中。
示例 client-website.com/page/with/my-widget
<head>
...
<script src="//ws.my-webappserver.com/little-widget/?key=api_key"></script>
...
</head>
现在,实际上这并不直接调用 javascript,而是我的远程服务器上的一个 PHP 脚本,它位于实际的 javascript 前面,用于进行一些身份验证。
上述调用背后的 PHP 脚本首先执行此操作:
- 检查 API 密钥 ($_REQUEST["key"]) 是否与数据库中的用户记录匹配。
- 根据数据库中的记录检查引荐来源网址 ($_SERVER['HTTP_REFERER'])***。
这是简化的,但本质上服务器看起来像:
if ($_SERVER['HTTP_REFERER'] !== "http://client-website.com/page/with/my-widget")
&& $_REQUEST["Key"] == "the_long_api_key") {
header("Content-type: application/x-javascript");
echo file_get_contents($thewidgetJS_in_secret_location_on_server);
} else {
//pretend to be a 404 page not found or some funky thing like that
}
***该小部件只允许在某些网站/页面上运行
现在,问题来了:
- 密钥在客户端,因此任何人都可以查看源代码并获取密钥
- 例如,引用者可以被欺骗(通过 cURL)
还有一点问题:我不能告诉客户将密钥粘贴在他们服务器上的 php 脚本中,因为他们可以运行任何服务器端语言!
那么如何使我的 Web 服务安全且只能由给定的域/页面访问?
任何帮助将非常感激!
ps:小部件会上传一些内容到一种投递箱 - 所以这里的安全性是关键!