那些遇到过的问题

如何在AJAX应用程序中保护私有REST API

aar*_*les 21 javascript security api rest node.js

我知道发布了许多类似的问题,但没有一个是指用户可以访问代码的HTML/javascript应用程序.

我有一个用nodejs编写的私有REST API.它是私有的,因为它的唯一目的是为我的HTML5客户端应用程序(Chrome应用程序和Adobe Air应用程序)提供服务.因此,API密钥不是一个好的解决方案,因为任何用户都可以看到javascript代码.

我想避免机器人在我的服务器上创建帐户并消耗我的资源.

有没有办法来实现这个?

Chr*_*son 15

API密钥是一个不错的解决方案,尤其是当您需要对API密钥的请求源进行约束时; 如果原始Web请求来自授权来源(例如您的私有域),请考虑您应该只接受API密钥.如果Web请求来自未经授权的域,您可以直接拒绝处理请求.

您可以通过使用专门的编码方案(例如基于散列的消息身份验证代码(HMAC))来提高此机制的安全性.以下资源清楚地解释了这种机制:

http://cloud.dzone.com/news/using-api-keys-effectively

  • 推荐人可能会被欺骗,所以我没有卖得有效:http://www.cyberciti.biz/faq/linux-unix-appleosx-bsd-curl-command-httpreferer/ (5认同)
  • 同样重要的是要注意API密钥解决方案适用于许多其他API,包括谷歌地图,Flickr,Facebook等.诀窍在于实施. (2认同)

归档时间:

查看次数:

13869 次

最近记录:

13 年,7 月 前
相关归档
'setInterval'vs'setTimeout' 248
将对象推入javascript深层或浅层副本中的数组? 67
node.js中module.parent有什么用?我如何参考require()ing模块? 35
获取RESTful请求所看到的返回计数 17
用于Redis的Nodejs对象文档模型 12
在 django 的其余部分删除用户帐户 6
当你可以使用sql查询直接从数据库获取数据时,为什么还要使用api? 5
临时密码安全 - 存储为纯文本 4
使用HATEOAS时找到一个宁静的资源? 4
使用javascript禁用打印屏幕键 2
难疑归档
如何在提交前撤消'git add'? 8567
在'for'循环中访问索引? 3312
何时在CSS中使用margin和padding 2277
比较Git中的两个分支? 2149
自制安装特定版本的公式? 2072
在Git中撤消一个文件的工作副本修改? 1550
如何在Git中有选择地合并或选择来自另一个分支的更改? 1374
为什么Dictionary优先于Hashtable? 1348
如何在JavaScript中将浮点数转换为整数? 1043
功能编程是否取代了GoF设计模式? 1028