Đây có thể là câu hỏi bảo mật chung, nhưng tôi nghĩ tôi muốn hỏi trong lĩnh vực những gì tôi đang phát triển.Khóa API dịch vụ Web và Ajax - Bảo vệ khóa
Kịch bản là: Dịch vụ web (WCF Web Api) sử dụng Khóa API để xác thực và cho tôi biết người dùng là ai, và kết hợp jQuery và ứng dụng trên giao diện người dùng.
Mặt khác, lưu lượng truy cập có thể là https nên không thể kiểm tra, nhưng nếu tôi sử dụng cùng một khóa cho mỗi người dùng (nói một guid) và tôi đang sử dụng nó ở cả hai thì có thể lấy được và ai đó có thể mạo danh người dùng.
Nếu tôi thực hiện điều gì đó tương tự như OAuth, thì người dùng và khóa ứng dụng được tạo và điều đó có thể hoạt động - nhưng vẫn cho phía jQuery, tôi sẽ cần khóa API ứng dụng trong javascript.
Điều này sẽ chỉ là vấn đề nếu ai đó ở trên máy tính thực tế và đã có chế độ xem.
Tôi nên làm gì?
- md5 hoặc mã hóa khóa bằng cách nào đó?
- Đặt khóa trong biến phiên, sau đó khi sử dụng ajax, hãy truy xuất nó?
- Vượt qua nó, nó không phải là một vấn đề lớn.
Tôi chắc chắn đây có thể là vấn đề phổ biến - vì vậy mọi con trỏ sẽ được chào đón.
Để làm cho điều này rõ ràng hơn - đây là API của tôi mà tôi đã viết rằng tôi đang truy vấn, chứ không phải google, v.v. Vì vậy, tôi có thể thực hiện theo mã thông báo phiên, v.v. cách để bảo mật mã thông báo/khóa phụ của khách hàng mà tôi sẽ sử dụng.
Tôi hơi quá thận trọng ở đây, nhưng chỉ cần sử dụng tính năng này để tìm hiểu.
Phiếu bầu của tôi sẽ là số 2. –
Phiếu bầu của tôi cũng sẽ chuyển đến số 2, giả sử mã thông báo cũng hết hạn. –