如何确保RESTAPI仅由已知使用者访问_Api_Rest_Http_Api Key_Secret Key - Fatal编程技术网

如何确保RESTAPI仅由已知使用者访问

api rest http

如何确保RESTAPI仅由已知使用者访问,api,rest,http,api-key,secret-key,Api,Rest,Http,Api Key,Secret Key,为了确保REST API仅由已知使用者访问，客户端应用程序使用密钥对每个HTTP请求进行签名，然后使用API密钥将生成的签名发送到服务器对于JavaScript客户端，API密钥和机密在脚本本身中硬编码。。。那么，这种机制如何确保发送请求的客户机实际上就是它应该是的客户机呢？我这样问是因为如果秘密是在JavaScript中硬编码的，每个人都可以查看它，窃取秘密，并在其他应用程序中使用它有没有更安全的方法向消费者公开API？我知道Stackoverflow中还有其他的帖子涉及这个话题。。。但我

为了确保REST API仅由已知使用者访问，客户端应用程序使用密钥对每个HTTP请求进行签名，然后使用API密钥将生成的签名发送到服务器
对于JavaScript客户端，API密钥和机密在脚本本身中硬编码。。。那么，这种机制如何确保发送请求的客户机实际上就是它应该是的客户机呢？我这样问是因为如果秘密是在JavaScript中硬编码的，每个人都可以查看它，窃取秘密，并在其他应用程序中使用它

有没有更安全的方法向消费者公开API？我知道Stackoverflow中还有其他的帖子涉及这个话题。。。但我不清楚的是如何处理消费者授权和用户授权。在我的例子中，使用者授权决定是否允许第三方访问我的API，并且与业务逻辑无关，而用户授权是在应用程序级别（即，在使用者被识别和授权之后）
您可以检查域并提供SOP设置，以仅限于已知域。如果ip保持不变，则可以按源ip删除请求
此外，您可以在服务器上有一个秘密生成器，客户端需要从服务器上调用该生成器，并将其传递到js代码上，然后可以将其附加到api调用。这样，使用SOP的客户机可以确保他们的js没有被注入。您可以在提供响应之前检查客户端IP

基本上，这取决于你要服务的消费者类型。他们是企业客户吗？等等。
在谷歌搜索之后，我发现了这一点，并实施了它描述的解决方案；-）

[rest]相关文章推荐

Struts中的Restful服务&x2B；弹簧&x2B；冬眠 rest struts2

REST响应中的日期应该本地化还是更通用？ rest date

Rest 在运行时为web服务设置域和颁发者（windows azure ACS） rest azure

Rest PUT请求返回400错误请求错误 rest jquery jakarta-ee

Rest 用于生产的独立WSGI服务器 rest

Rest Magento与salesforce集成 rest magento soap salesforce

Rest 如何将Xamarin PCL的HTTP头HTTP POST请求发送到web服务？ rest xamarin

Rest 正在向客户端发送头响应 rest jersey

RESTAPI和DDD rest domain-driven-design

Rest AmazonAPI-获取产品详细信息 rest api amazon-web-services amazon-s3

使用REST GET API仅检索特定属性 rest

通过（Rest）API管理AzureSearch rest api azure

为通用REST调用生成Swagger UI rest asp.net-core swagger

如何通过API REST Neo4j使用REDUCE？ rest neo4j

在调用另一个API之前阻止REST API响应 rest api

okta与spring mvc rest api oauth2的集成 rest spring-mvc

REST完整api对补丁http方法的响应应该是什么？ rest

RESTAPI设计-单个通用端点或多个特定端点 rest

多对多资源映射restful api设计 rest express

Elasticsearch rest客户端http over https问题 rest ssl https

随机文章推荐

使用Fullcalendar和Google Calendar将类添加到过去的事件 fullcalendar

fullcalendar中只有月份视图（删除/隐藏“日”和“周”视图） fullcalendar

Fullcalendar 如何转到完整日历中的特定月份？ fullcalendar

Fullcalendar 完整日历-在没有活动的日子添加文本 fullcalendar

为Fullcalendar使用主题 fullcalendar

Fullcalendar 在6中的启动计划中刷新事件 fullcalendar angular6

FullCalendar:弃用警告：提供的值不是可识别的RFC2822或ISO格式 fullcalendar

eventRender在fullcalendar v5中消失 fullcalendar

如何在设置fullcalendar v5的eventContent中的内容时获取事件高度 fullcalendar

[api]相关推荐

Facebook RESTful API需要_login（）回调
Api Facebook Login Rest

Makumba-如何使用API将null设置为指针值
Api

需要有关reCAPTCHA api的请求后部分的帮助吗
Api Post

Api 在Sencha Touch 2中创建积垢模型
Api Extjs Sencha Touch 2

Google API V3多个信息窗口加上单击关闭
Api Google Maps Google Maps Api 3

Api Restlet：对“使用相同的资源”/“客户”；及/客户/"；
Api

除了cUrl，使用大型商业API还需要什么？
Api

Api SOAP v1 Magento上product_atribute.create中的参数错误
Api Magento Exception Soap Parameters

Api 如何在谷歌发布+；墙
Api Google Plus

RESTful API的结构
Api Rest

谷歌地图Api-更改标记的颜色
Api

Marketo Rest API-获取文件夹令牌类型：本地、继承或重写
Api Rest

无第三方插件/库的Dropbox Groovy rest api
Api Rest Grails Groovy

Pyechonest混音Echo Nest API错误2:2 |不允许使用API密钥
Api

instagram api-oAuth-用户获得沙箱
Api Oauth Instagram

Okta Log Api通过代码给出内部服务器错误500，但从Postman运行时给出结果，这是什么原因
Api

Docker compose:Nginx proxy\u传递我的api
Api Nginx Docker Compose

Api 推特：'；搜索推特'；函数只返回一组非常小的tweet
Api Twitter Oauth

不使用Instagram API访问Instagram媒体
Api Facebook Graph Api Instagram

oauth授权头如何与'；简单'；api url？
Api Oauth Sas

如何使用Minitest测试轮询外部api？
Api Ruby On Rails 4

Api 具有多个用户的OAuth2客户端身份验证
Api Oauth 2.0 Google Calendar Api

如何从Google Chrome扩展调用Google NLP Api
Api Google Chrome Extension Google Cloud Platform Nlp

API调用过滤器php
Api Filter

Api 黑名单单词|过滤单词discord.bs
Api Discord Bots Discord.js

谁将获得YouTube API v3的下一个[10、20或50]页结果
Api Youtube

Api GA附加队列报告配置
Api Google Analytics

如何获取协作repos GitHub API？
Api Github

Instagram Graph API访问令牌-数据访问-续订
Api Cron Instagram

Shopware 6：使用store api查询国家/地区
Api

Tags

Extjs4 Ocaml Notifications Youtube Akka Routing Sap Bots Ssl Triggers Quickbooks Virtualbox Concurrency Sql Server Maps Oracle11g Http Report Gstreamer List Windows Runtime Arangodb Webpack Session Asp Classic Gruntjs Eclipse Plugin Vhdl X86 Python Sphinx Mongoose Latex Ibm Midrange Web Services Nlp Html5 Canvas Uwp Protocol Buffers Validation Javafx 2 Openshift Gulp Process Cuda Angularjs Hash Ckeditor Sas Marklogic Streaming Xamarin.ios Silverlight Libgdx Gradle Drupal 6 Types Iframe Blockchain Vue.js Dependency Injection Windbg Asp.net Core Firefox Addon Yii Express Ignite String Opengl Es Cocoa Touch Parallel Processing Mpi Codenameone Ruby Internet Explorer 8 Cryptography Dll Redux Robotframework Gnuplot Sails.js Vb6 Hibernate Encryption Winapi Openssl Swift Openlayers Gremlin Windows 10 Internationalization Struts2 Powerbi Reference Zend Framework2 Audio Compiler Errors Bluetooth Timer Snowflake Cloud Data Platform Anaconda Itext Linker Installation Cobol Visual C++ Plugins Performance Identityserver4 Sapui5 Phpunit Socket.io Asynchronous Ldap Zsh Dialogflow Es Sbt Webrtc Tensorflow Design Patterns Interface Sencha Touch Java Me Xamarin.forms Certificate Z3 Influxdb Material Ui Project Management Deployment Content Management System Workflow Dns Osgi Udp Modelica Linq Antlr4 Jestjs D Sonarqube Xamarin Websocket Cookies Rest Menu Jenkins Vb.net Stored Procedures Log4j Google Chrome Sip Ruby On Rails Jasper Reports Typo3 Entity Framework Core Encoding Xmpp User Interface Windows 8 Post Kubernetes Dynamics Crm Xcode4 Aws Lambda Jpa Maven 2 Google Cloud Firestore Calendar Gwt Webview Entity Framework 4 Tkinter Azure Service Fabric Cucumber Fiware Apache2 Compilation Sql Server 2008 Button Playframework Jsf Dotnetnuke Domain Driven Design Tags Xampp Alfresco Instagram Data Binding Perl Date Model View Controller Discord.py Variables Sharepoint 2010 Jasmine Clang Rust Xamarin.android Ember.js Appium Android Emulator

Copyright © 2024. All Rights Reserved by - Fatal编程技术网