Question

У меня есть набор служб REST, которые я ТОЛЬКО хочу, чтобы мое веб-приложение использовало. Я не хочу, чтобы мои пользователи могли использовать свои учетные данные и пользоваться услугами стороннего приложения (поскольку мои данные оплачиваются). Есть способ убедиться, что только мой javascript может совершать вызовы к службам из браузера, который не может быть подделан (например, заголовки запросов и обнаружение пользовательских агентов не будут работать).

Вероятно, это скорее творческая проблема.

scube · Answer 1 · 08 августа 2011

Я также предоставляю REST API. Я использую комбинацию API-ключа, который всегда статичен и может быть подделан. Далее идет подпись, которая будет генерироваться на стороне клинета и проверяться на стороне сервера при каждом запросе. Подпись создается путем комбинации всех параметров и секретного пароля. это препятствует тому, чтобы человек посередине выполнил, например, тот же вызов с другим параметром.

Плохо только то, что поддельный запрос может быть отправлен снова. Я уже не знаю, как это предотвратить.

Есть ли способ принудительно инициировать запрос с помощью служб REST?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Есть ли способ принудительно инициировать запрос с помощью служб REST?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы