Предотвратить вмешательство в результаты геокодирования на стороне клиента

Question

Мы создаем сервис, который использует цены на основе местоположения. Пользователь может ввести адрес и увидеть цены в своей области, определенные различными серверными алгоритмами. Затем можно заказать товары на основе этих цен.

Я пытаюсь выяснить, есть ли способ использовать геокодирование на стороне клиента в этом сценарии (чтобы не нарушать ограничения использования API Карт Google), например, пользователь вводит свой адрес, а браузер выбирает результат геокодирования с использованием библиотеки JS и включает его в отправку формы. Проблема в том, что пользователь может вмешиваться в отправку формы и потенциально размещать заказы на свой адрес по ценам, которые применяются к другому набору координат.

Я бы хотел услышать ваши предложения о том, как мне это обезопасить. Например, было бы удивительно, если бы результат геокодирования можно было как-то подписать, чтобы убедиться, что он не был подделан?

Answer 1

Никогда доверие данные создано клиентская Все, что вы можете сделать на стороне клиента, они могут.

Answer 2

Если вы хотите, чтобы клиентский компьютер выполнял запрос, вы будете немного ограничены в аспекте безопасности, так как все это будет JavaScript, и злонамеренный пользователь может проверить сценарий и увидеть, что вы делаете.,Поэтому даже попытки «обеспечить» его успех были бы ограничены.

Моя единственная рекомендация состояла бы в том, чтобы сделать «окончательную проверку» на стороне сервера так же, как пользователь представляет свои результаты.Это должно уменьшить количество попаданий API на стороне вашего сервера, но сохранит безопасность на 100%.

Answer 3

Если данные хранятся на компьютере пользователя, они могут делать с ним все, что хотят. Возможно, вы сможете зашифровать его или что-то еще, или, возможно, сохранить идентификатор в таблице геоданных (например, почтовый индекс, но создайте свою подобную систему) или в хеш-код геоданных или чего-то еще, но все, что хранится на их машине, их.