Question

Я вызываю веб-сервис, используя методологию REST, используя JSON / JS / jquery, и мне интересно, есть ли способ вызвать веб-сервис, не раскрывая мои ключи API в исходном коде.Кто-нибудь знает способ скрыть ключи API от общественности и при этом сделать звонок?

Я боюсь, что если кто-нибудь пройдет через мой источник, он сможет использовать мой ключ API.

Matt Ball · Answer 1 · 02 июля 2011

Вы можете делегировать вызовы на свой собственный сервер, поэтому вместо:

Браузер отправляет HTTP-запрос на внешний REST API, с ключом API
Внешний REST API отправляет ответ набраузер

у вас есть

Браузер отправляет HTTP-запрос на ваш сервер
Ваш сервер отправляет HTTP-запрос на внешний REST API с ключом API
Внешний REST API отправляет ответ на ваш сервер
Ваш сервер отправляет ответ в браузер

Я не уверен, что кто-то еще "крадет" ваш ключ APIОднако это огромная проблема, поскольку ключи API (например, Google) часто связаны с конкретными доменами.

Paul Sonier · Answer 2 · 02 июля 2011

Невозможно отправить ключи API клиенту, чтобы их можно было использовать, и чтобы они не были доступны. Скорее всего, вам нужен уровень трансляции, где вы разрешаете внешним (не проверенным) клиентам отправлять запросы к открытой конечной точке, затем вы используете некую логику для проверки запроса и затем пропускаете запрос.

Ключи API обычно предназначены для использования в качестве партнера, а не для распространения; это способ избежать их распространения.

Как сделать REST-звонки безопасными

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как сделать REST-звонки безопасными

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов