保护对嵌入式javascript小部件的访问
我浏览stackoverflow已有一段时间了,希望找到一种适用于以下用例的安全访问模型: 小部件用户嵌入一个javascript文件:保护对嵌入式javascript小部件的访问,javascript,api,security,widget,cross-domain,Javascript,Api,Security,Widget,Cross Domain,我浏览stackoverflow已有一段时间了,希望找到一种适用于以下用例的安全访问模型: 小部件用户嵌入一个javascript文件: 小部件与网站上显示的内容相关,该内容只能从授权网站访问 该应用程序使用谷歌云端点和谷歌云函数访问需要保护的后端API 我正在考虑通过以下方式降低安全风险: js脚本发送一个API请求来生成一个令牌,名为generateToken。参数是用户id、window.document.id和API键A。该密钥允许限制对某些推荐人的访问。它将定期轮换 APIgenera
小部件与网站上显示的内容相关,该内容只能从授权网站访问
该应用程序使用谷歌云端点和谷歌云函数访问需要保护的后端API
我正在考虑通过以下方式降低安全风险:
generateToken
。参数是用户id、window.document.id
和API键A。该密钥允许限制对某些推荐人的访问。它将定期轮换generateToken
使用用户id和域生成身份验证令牌,并将其与用户特定的API密钥一起返回widget.js
接收令牌和密钥B,并将它们存储为会话cookie。代币的有效期是10分钟