JSONP является обязательным для вашего API?

Question

У меня есть API WCF, который поддерживает SOAP / JSON / XML, но мы не предоставляем JSONP. Это означает, что если кто-то хочет использовать наш API с использованием JSON, он должен создать прокси на стороне сервера, чтобы обойти ограничение кросс-браузера.

Мне это нравится, потому что это отговаривает пользователей вставлять ключи и секреты API в код на стороне клиента. В то время как большинство методов принимают и получают доступ к токену, у нас есть методы аутентификации, которые требуют от потребителя отправки ключа и секрета для получения этого токена доступа. Если мы представим JSONP, некоторые потребители могут сделать этот запрос на стороне клиента, и я не в восторге от этого.

Итак ... если у вас есть API, который поддерживает JSON, важно ли поддерживать JSONP. Ужасно ли требовать от потребителей создания прокси на стороне сервера?

JSONP несложно реализовать, но по вышеуказанной причине я не решаюсь. Вроде просто ищу мысли / советы. Спасибо

Answer 1

Вы можете сделать специальные ключи авторизации, которые работают только с JSONP, а затем вернуть Javascript, который проверяет location и гарантирует, что ключ аутентификации использовался действительным сайтом.

Однако это не остановитВредоносный сервер отправляет запрос JSONP и анализирует JSON.

Вам необходимо выяснить, чего хотят ваши партнеры и что могут сделать злоумышленники, чтобы найти компромисс между удобством использования и безопасностью.