在Javascript中保护API密钥
我正在为一个网站建立一个支付插件,用户可以用真金白银购买一些网站实习生货币。我使用的后端处理支付过程,是。 它提供了一个JavaScript库来与API进行通信,因此您不必让系统接触敏感的支付数据,如信用卡号码等 问题是: 目前,api密钥、秘密哈希和其他易受攻击的数据被硬编码到我的脚本中,该脚本启动与服务器的通信。因此,理论上,每个半身血统的用户都可以将它们从浏览器中复制出来,并用它来做一些令人讨厌的事情,特别是如果他们能够访问api文档的话 所以,这是不安全的,它肯定不能这样生活 我正在使用cakephp,我想在按下submit按钮后,通过对控制器/模型的一些ajax调用来收集这些敏感键。 问题是,这种连接不安全,很容易成为“中间人”在Javascript中保护API密钥,javascript,security,cakephp,api-key,Javascript,Security,Cakephp,Api Key,我正在为一个网站建立一个支付插件,用户可以用真金白银购买一些网站实习生货币。我使用的后端处理支付过程,是。 它提供了一个JavaScript库来与API进行通信,因此您不必让系统接触敏感的支付数据,如信用卡号码等 问题是: 目前,api密钥、秘密哈希和其他易受攻击的数据被硬编码到我的脚本中,该脚本启动与服务器的通信。因此,理论上,每个半身血统的用户都可以将它们从浏览器中复制出来,并用它来做一些令人讨厌的事情,特别是如果他们能够访问api文档的话 所以,这是不安全的,它肯定不能这样生活 我正在使用
有没有其他更好的方法可以用javascript保护我的API密钥?使用基于令牌的身份验证、https和csrf令牌,并且永远不会,而是在客户端上保密
使用oauth,用户甚至不需要向您发送密码。使用其他人的身份验证系统 没有。任何敏感信息都需要经过您的服务器。但是,如果他们有一个JS接口,他们肯定考虑过安全性吗?而且,与cake.没有任何关系吗。。?