bra*_*yne 12 authentication api rest mongodb mlab
Mongolab的REST API很酷.我可以使用Mongolab支持页面上提供的以下javascript直接在我的网站中使用它进行分析.只有我能理解认证的实际运作方式.URL中提到的API密钥可以被任何查看html源的人轻松复制.Mongolab控制面板不为我的网站提供任何注册,以确保api密钥仅在来自我的域时才会被验证.这种认证如何工作?
$.ajax( { url: "https://api.mongolab.com/api/1/databases/my-db/collections/my-coll?apiKey=myAPIKey",
data: JSON.stringify( { "x" : 1 } ),
type: "POST",
contentType: "application/json" } );
dam*_*ier 11
很好的观察,很好的问题.
目前,所有API密钥都具有与用户帐户关联的数据库的读写访问权限,并且拥有API密钥的任何代理都可以成功发出任何此类请求.
正如您所看到的,这个非常基本的密钥并不是为了考虑任何细粒度的安全性而设计的.
但是,我们正在研究一批新的REST API安全功能,旨在实现这一目标.
如果您有兴趣讨论细节,请通过support@mongolab.com与我们联系.
| 归档时间: |
|
| 查看次数: |
3858 次 |
| 最近记录: |