Извините, если заголовок простой идиотский по отношению к содержанию.
Мы обсуждали модель для сайта с интенсивным взаимодействием, в котором будетбыть
site.com
api.site.com
на одном сервере.site.com работает на PHP, а api.site.com - на альтернативной веб-платформе.Один и тот же или разные серверы отвечают на два домена.
Визуализированный сайт делает AJAX-вызовы на api.site.com.
Обеспечить это легко, если приложение было «полностью PHP»,Функция сеанса может запретить HTTP-запросы, которые позволяют:
- незарегистрированному незнакомцу получить доступ к данным пользователя
- законно зарегистрированному пользователю запрашивать данные другого пользователя
Вопрос 1: Как вы защищаете внутренний API, чтобы мы могли быть уверены в легитимности каждого запроса?
Я гуглилup AJAX и та же политика происхождения, но я не продвинулся далеко с ними.
Я думаю о случайно сгенерированных «токенах», которые будут подтверждены обоими доменами.
Вопрос 2: Есть ли конкретное название для этой модели ?