如何解决确保对嵌入式JavaScript小部件的访问权限
我已经浏览了很长时间的stackoverflow,希望找到一种适用于以下用例的安全访问模型:
小部件用户嵌入了一个JavaScript文件:<script id="widget_" src="https:/myurl.com/widget.js" async=""></script>
该小部件与网站上显示的内容有关,并且只能从授权网站访问该内容。
该应用程序正在使用Google Cloud Endpoints和Google Cloud Functions来访问需要保护的后端API。
我当时正考虑减轻安全风险,如下所述:
- widget.js脚本发送API请求以生成称为
generateToken
的令牌。参数是用户的ID,window.document.id
和API密钥 A 。该密钥允许限制对某些引荐来源的访问。它将定期旋转。 - API
generateToken
使用用户ID和域来生成身份验证令牌,并将其与用户特定的API密钥 B 一起返回。 -
widget.js
接收令牌和密钥 B 并将其存储为会话cookie。令牌有效期为10分钟。 - 令牌和密钥 B 用于调用受保护的后端API。
注意:键 B 用于监控Google Cloud Endpoints内部的API使用情况。
您如何看待这种方法?
iFrames如何提供帮助?它们在2020年仍在使用吗?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。