Вопрос по javascript, api – Защита API для использования с виджетом Javascript

7

Я пишу плагин javascript, который будет установлен блоггерами / владельцами веб-сайтов. Он будет общаться с моим удаленным API.

Мне интересно, как защитить API, чтобы обеспечить доступ к ресурсам из API только доменам, принадлежащим пользователям, которые зарегистрировали учетную запись в службе. Я ознакомился с OAuth2 и понимаю основы, но поскольку плагин будет запускаться из браузера, а не с сервера на сервер, я не уверен, насколько это безопасно.

Множество сервисов, таких как mixpanel, google analytics, olark, используют одну и ту же концепцию (то есть владелец веб-сайта устанавливает линию JS на своем сайте), поэтому это должно быть решенной проблемой.

Попытка запретить людям доступ к данным, к которым у них не должно быть доступа, например Я получаю доступ к данным Google Analytics сайта, которым я не владею или не контролирую. Google это делает, но как? используя OAuth? cjroebuck
Нет; Google не делает этого. Скрипт Google Analytics не предоставляет доступ к каким-либо данным. SLaks
Что именно вы пытаетесь предотвратить? SLaks
Чтобы ответить на ваш очевидный вопрос, вы можете использовать любую систему входа в систему. SLaks

Ваш Ответ

1   ответ
3

window.location проверяет ваш сценарий, чтобы другие люди не могли включать его непосредственно с ваших серверов.

Однако невозможно запретить пользователям загружать сценарии локально, снимая защиту и размещая их самостоятельно.

Вы можете требовать ключ API во всех запросах на стороне сервера, но враги могут легко украсть ключи API с законных сайтов.

Error: User Rate Limit Exceeded
Error: User Rate Limit Exceeded
Error: User Rate Limit Exceeded cjroebuck

Похожие вопросы