使用客戶端Javascript時如何保持API密鑰的秘密?


1 Answers

我自己沒有這樣做,但我知道您擔心的那種攻擊稱為跨站點請求偽造(CSRF)。 維基百科的文章提供了一些如何防止它的提示。

javascript authentication client-side

例如,看看這個Facebook插件。

在客戶端,API密鑰清晰可見。 什麼阻止其他用戶獲取此密鑰並在其他網站上使用此功能?

我認為一個非常天真的實現是檢查請求來自的域,但這樣的事情很容易偽造。

如果我要創建類似的東西,我將如何保護身份驗證過程?

我希望盡可能多地使用某種形式的服務器身份驗證,但是我希望這項工作能夠成為客戶端。 任何鏈接或建議將不勝感激。

更新

關於我發現有用的API密鑰的類似question



Related