1. Trang chủ
  2. Câu hỏi và trả lời
  3. Bảo mật API để sử dụng với tiện ích Javascript

Bảo mật API để sử dụng với tiện ích Javascript

2012-05-15 16 views
7

Tôi đang viết một plugin javascript sẽ được cài đặt bởi các blogger/chủ sở hữu trang web. Nó sẽ liên lạc với API từ xa của tôi.Bảo mật API để sử dụng với tiện ích Javascript

Tôi đang tự hỏi làm thế nào để bảo đảm API để đảm bảo rằng chỉ các lĩnh vực thuộc sở hữu của người dùng đã đăng ký một tài khoản với các dịch vụ có thể truy cập tài nguyên từ API. Tôi đã đọc trên OAuth2 và hiểu những điều cơ bản, nhưng vì plugin sẽ chạy từ bên trong trình duyệt chứ không phải từ máy chủ đến máy chủ, tôi không chắc chắn mức độ bảo mật này có thể như thế nào.

Tấn dịch vụ như mixpanel, google analytics, olark sử dụng cùng một khái niệm (tức là chủ sở hữu trang web cài đặt một dòng JS trên trang web của họ) để nó phải là một vấn đề được giải quyết.

Nguồn

2012-05-15 cjroebuck

+0

Chính xác thì bạn đang cố gắng ngăn chặn điều gì? – SLaks

+0

Cố gắng ngăn mọi người truy cập dữ liệu mà họ không có quyền truy cập vào, ví dụ: tôi truy cập dữ liệu phân tích google của trang web mà tôi không sở hữu hoặc kiểm soát. Google làm điều này, nhưng làm thế nào? sử dụng OAuth? – cjroebuck

+0

Không; Google không làm điều đó. Tập lệnh Google Analytics không cấp quyền truy cập vào bất kỳ dữ liệu nào. – SLaks

Trả lời

3

Bạn có thể chèn window.location kiểm tra vào kịch bản của bạn để ngăn chặn những người khác từ bao gồm cả trực tiếp tắt của máy chủ của bạn.

Tuy nhiên, nó là không thể ngăn chặn những người tải về kịch bản tại địa phương, loại bỏ bảo vệ bạn, sau đó lưu trữ nó bản thân.

Bạn có thể yêu cầu một khóa API trong tất cả các yêu cầu phía máy chủ, nhưng kẻ thù có thể dễ dàng ăn cắp chìa khóa API từ các trang web hợp pháp.

Nguồn

2012-05-15 15:29:41 SLaks

+0

Kịch bản sẽ khá vô dụng mặc dù không có liên lạc với API của tôi. Xin lỗi câu hỏi của tôi là một chút mơ hồ tôi chỉ là một chút bối rối như thế nào các dịch vụ tôi đã đề cập đã đi về việc thực hiện điều này. – cjroebuck

+0

Không có dịch vụ nào bạn đề cập có thể trả lại bất kỳ thông tin nào. – SLaks

+0

SLaks đánh vào đầu. Các tiện ích GA và Mixpanel chỉ gửi dữ liệu và không có gì ngăn cản bất kỳ trang web nào sử dụng khóa GA đã cho để ghi dữ liệu ngoại trừ việc chúng không thể truy cập dữ liệu được đề cập (và dễ dàng lọc cho người dùng hợp pháp). Trong trường hợp Olark, dữ liệu quay trở lại (tức là tin nhắn từ người vận hành), nhưng cụ thể là người dùng phiên và không được xác thực, vì vậy điều tương tự cũng áp dụng (tôi là kỹ sư cho Olark, và chúng tôi không làm gì cả loại xác minh URL vì nó cuối cùng sẽ vô dụng vì những lý do mà SLaks đề cập). –

Các vấn đề liên quan

 Các vấn đề liên quan