सुरक्षित करना यह शायद एक सामान्य सुरक्षा प्रश्न है, लेकिन मैंने सोचा कि मैं जो विकास कर रहा हूं उसके क्षेत्र में पूछूंगा।वेब सेवाएं एपीआई कुंजी और अजाक्स - कुंजी
परिदृश्य है: एक वेब सेवा (डब्ल्यूसीएफ वेब एपीआई) जो एपीआई कुंजी का उपयोग करती है और मुझे बताती है कि उपयोगकर्ता कौन है, और फ्रंट एंड पर jQuery और एप्लिकेशन का मिश्रण।
एक ओर, यातायात https हो सकता है, इसलिए इसका निरीक्षण नहीं किया जा सकता है, लेकिन यदि मैं प्रति उपयोगकर्ता एक ही कुंजी (एक guid कहता हूं) का उपयोग करता हूं, और मैं इसे दोनों में उपयोग कर रहा हूं तो यह मौका लिया जा सकता है और कोई उपयोगकर्ता का प्रतिरूपण कर सकता है।
यदि मैं ओएथ के समान कुछ लागू करता हूं, तो उपयोगकर्ता और प्रति-ऐप कुंजी उत्पन्न होती है, और यह काम कर सकती है - लेकिन अभी भी jQuery पक्ष के लिए मुझे जावास्क्रिप्ट में एप एपीआई कुंजी की आवश्यकता होगी।
यह केवल एक समस्या होगी यदि कोई वास्तविक कंप्यूटर पर था और दृश्य-स्रोत था।
मुझे क्या करना चाहिए?
- md5 या किसी भी तरह कुंजी को एन्क्रिप्ट करें?
- कुंजी को एक चर चर में रखें, फिर AJAX का उपयोग करते समय इसे पुनर्प्राप्त करें?
- इसे प्राप्त करें, यह एक बड़ा सौदा/समस्या नहीं है।
मुझे यकीन है कि यह शायद एक आम समस्या है - इसलिए किसी भी पॉइंटर्स का स्वागत होगा।
इस स्पष्ट बनाने के - यह मेरा एपीआई मैं लिखा है कि मैं एक गूगल के खिलाफ की क्वेरी कर रहा हूँ, नहीं, आदि तो मैं सत्र टोकन प्रति क्या कर सकते हैं, आदि, मैं तो बस सबसे अच्छा बाहर काम करने के कोशिश कर रहा हूँ है क्लाइंट साइड टोकन/चाबियाँ जिन्हें मैं उपयोग करूंगा सुरक्षित करने का तरीका।
मैं यहां थोड़ा अधिक सतर्क हूं, लेकिन सीखने के लिए इसका उपयोग कर रहा हूं।
मेरा वोट # 2 के लिए होगा। –
मेरा वोट नंबर 2 पर भी जाएगा, मानते हैं कि टोकन की समाप्ति भी है। –