dav*_*dav 10 api google-chrome-extension
我想写一个google chrome扩展程序,它应该向我的网站发送请求并发送一些数据,所以,实际上我应该做一个像这里写的ajax请求https://developer.chrome.com/extensions/ xhr.html
var xhr = new XMLHttpRequest();
xhr.open("GET", "http://api.example.com/data.json", true);
我想问一下是否有办法以某种方式保护代码或阻止其他人使用我的api,因为实际上其他用户在安装时可以看到扩展的源代码,所以在我没有意识到的情况下使用我的api.
编辑:
如果我需要进行某种身份验证,那么在进行ajax调用之前如何对用户进行身份验证?对于身份验证我需要向我的服务器发送请求,但为此我应该发送,例如用户名和密码,应该保存在扩展程序文件中的某个位置,实际上,用户可以在安装时看到这些文件扩展名.
谢谢
不要相信浏览器,而是采取措施对用户进行身份验证。因此,在这种情况下,您可以要求您输入用于与服务器通信的密码。
您的 Google 扩展程序会简单地要求您在尝试使用 AJAX 与您的服务器通信之前输入密码。
请注意,您应该建立保护自己免受暴力攻击的方法。因此,如果错误的密码数量超过少数,请执行诸如锁定所有内容之类的操作。
您也可以考虑使用密码来简单地解密 XHR 的目的地,但是如果您走这条路,您应该非常小心地存储它,因为这将在离线时被暴力破解。
编辑 试图锁定一个 API 以便只有一个应用程序可以使用它是不切实际的,在技术上也不可能,所以你唯一的希望是使用 API 对用户进行身份验证,而不管他正在使用什么访问软件. 您可以让用户签署一项协议,在法律上将他们限制在您的扩展范围内,但我怀疑这在很大程度上无法执行,并且会消耗您的时间来追踪滥用者。
如果您不希望未经授权的人甚至知道 API 在哪里,您可以使用带外机制执行身份验证:通过电话、电子邮件、短信或简单地,另一个将授予用户密码或令牌的 API对您的 API 的请求必须随附。
在此带外过程中,您还可以授予用户一个唯一的 URI(API 访问点),该 URI 仅对每个经过身份验证的会话有效(https://api.totally-cool-extension.com/api/ijyeDvB5dYvSiWG97OLuTAoNWwbhuZ0 /,例如)。在其他 URI 上向您的服务器发出的任何请求都将不起作用。然而,这在理论上与使用相同的 API 访问点并拥有一个好的密码并没有太大的不同。它只是更改架构中将执行身份验证和/或授权检查的位置数量。
<aside>我的投票是将授权/身份验证点的数量减少到尽可能少,这样您就可以花更多时间在正确的位置上,而不是有多个位置和可能的多个逻辑缺陷或其他可能导致漏洞的事情。</aside>
您还可以探索使用公钥基础设施和/或一次性密码方案或基于设备的令牌生成器等,但最终,您将允许经过身份验证和授权的用户使用您的 API。而且,多亏了互联网,这不会长期保持一个未公开的 URI。
而且,更重要的是,它不会阻止某人自行使用数据。即使采取了所有这些措施,授权用户在将这些数据流式传输到您的扩展程序时收集这些数据也是微不足道的。或者,如果您使用点对点加密,他们可以截屏或对您的代码使用某种形式的 JS 内省,甚至从他们的计算机内存中提取数据。
我知道你在这里寻找灵丹妙药,但它不存在。