cjr*_*uck 7 javascript api oauth
我正在写一个javascript插件,将由博主/网站所有者安装.它将与我的远程API通信.
我想知道如何保护API以确保只有已注册该服务帐户的用户所拥有的域可以从API访问资源.我已经阅读了OAuth2并了解了基础知识,但由于插件将在浏览器内运行,而不是从服务器运行到服务器,因此我不确定它有多安全.
大量的服务,如mixpanel,谷歌分析,olark使用相同的概念(即网站所有者在他们的网站上安装一行JS),所以它必须是一个解决的问题.
您可以window.location在脚本中插入检查,以防止其他人直接将其包含在您的服务器中。
但是,不可能阻止人们在本地下载脚本、删除您的保护,然后自行托管。
您可以在所有服务器端请求中要求 API 密钥,但敌人可以轻松地从合法站点窃取 API 密钥。
| 归档时间: |
|
| 查看次数: |
642 次 |
| 最近记录: |