Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我有一组我只希望我的 Web 应用程序使用的 REST 服务。我不希望我的用户能够使用他们的凭据并让第三方应用程序使用服务(因为我的数据是付费的)。我有一种方法可以确保只有我的 javascript 才能从无法被欺骗的浏览器调用服务(例如,请求标头和用户代理检测将不起作用。)
这可能更像是一个创造性的问题。
签名的客户端证书和 HTTPS。
我还提供了一个 REST API。我使用了一个 API 密钥的组合,它总是静态的并且可以被欺骗。接下来是一个签名,它将在客户端端生成并在每个请求的服务器端证明。签名是由所有参数和秘密密码的组合构建的。这可以防止中间的人使用另一个参数执行例如相同的调用。
唯一不好的是可以再次发送欺骗请求。我不知道如何防止这种情况。