此网站由匿名用户和经过身份验证的用户使用.正如您所期望的,经过身份验证的用户发出的Web服务调用需要身份验证,因此可以防止未经授权的用户或应用程序.
然而,该网站有很多功能,不需要身份验证,其中一些使用匿名Web服务.我使用的唯一方法是防止外部人员使用这个网络服务,这是通过使用CSRF token.我知道,CSRF令牌在这方面并不是非常有用的…在一段时间内,您可以了解如何使用Web服务,即使他们使用CSRF令牌.
当然,您可以使用CAPTCHA来防止应用程序或机器人自主地使用您的Web服务.然而,任何人都将能够使用它.
另一方面,在客户端和服务器之间共享密钥将是无用的.这是因为任何局外人从网页源代码中读取的能力.
我想使这些Web服务难以引用到任何第三方应用程序.除了使用CSRF令牌外,你还会做什么?听起来有点愚蠢,但嘿,也许这是愚蠢的,我只是失去了我的时间.
注意:鉴于此应用程序使用浏览器而不是“可执行文件”作为客户端,因此this question与讨论无关.我不能使用服务器和客户端之间的秘密(至少我不知道)
总结:
>秘密密钥实际上并不是在客户端和服务器之间发送的.相反,它用于签署请求
>确保请求包含一些唯一/随机元素(您的CSRF密钥可能足够),以便对相同API数据的两个请求不相同.
>使用密钥对请求进行签名,并将签名附加到请求.您链接到PHP问题,但不清楚您使用的是哪种语言.在.Net中,我将使用HMAC类,如HMACSHA256.>在API服务器端使用相同的HMAC对象来验证请求是否使用相同的密钥进行签名.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
