0

问候!

我刚刚完成了我的第一个 REST API,部署在 heroku 上,我认为通过 rapidAPI 每月赚取 0 美元会很酷。

rapidAPI 测试仪表板成功通过了测试——其中一个关键是 API 调用的要求。

但是,当我在浏览器或 Postman 上访问该站点时,不需要 API 密钥,因此对获取请求没有限制。

我注意到测试代码向项目的 rapidAPI url 发出了获取请求,但我怎样才能使 heroku url 只能从 rapidAPI 访问?

我知道有人会找到我的 heroku 应用程序 url 的可能性极小,但在技术上是可行的。

感谢您的时间和见解。

4

1 回答 1

0

RapidAPI 提供了 2 个安全功能来支持这一点:

  • X-RapidAPI-Proxy-Secret在 API 仪表板中设置:此令牌被添加到每个请求的X-RapidAPI-Proxy-Secret HTTP 标头中。您应该为每个 API 调用验证这一点。这是默认的措施。
  • 提供了 RapidAPI 使用的IP 地址列表:您可以检查/验证每个 API 调用。

可能有 Heroku 插件来帮助进行 IP 过滤,但这些通常是企业插件(具有相关成本)。

于 2022-01-17T13:21:09.710 回答