特别是以下.通常,每个API请求必须包含一个参数method_code,该参数计算为用户令牌,方法名称和秘密API密钥的哈希值.如果我把这个参数计算的逻辑放到.js文件中,任何人都可能使用Postman甚至浏览器控制台等工具访问一些敏感数据.我该怎么办这个问题?我可以有一个服务器端脚本为我生成method_code,但它是否可以只访问我的Web应用程序的请求?
解决方法
every API request must contain a parameter method_code,which is calculated as hash of user token,method name and secret API key
I Could have a server-side script generating the method_code for me,but is it possible to make it accessible only to my web app’s requests?
是的,如果您不想在客户端代码中公开秘密API密钥或请求数据,那么服务器端脚本将是您的选择.
用户令牌(可能)来自用户的会话cookie值?因此,只需使用服务器端方法获取方法名称,然后返回从秘密API密钥(仅保留服务器端)和用户令牌计算的method_code.
Same Origin Policy将阻止另一个域向您的API发出请求并检索method_code.我也假设API和前端代码在这里运行在同一个域上,但如果不是这种情况,您可以使用CORS来允许您的前端代码通过API读取和检索客户端数据.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
