Warning: file_get_contents(/data/phpspider/zhask/data//catemap/3/wix/2.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
保护对嵌入式javascript小部件的访问_Javascript_Api_Security_Widget_Cross Domain - Fatal编程技术网
Fatal编程技术网
  • javascript/
  • 保护对嵌入式javascript小部件的访问

保护对嵌入式javascript小部件的访问

javascript api security

保护对嵌入式javascript小部件的访问,javascript,api,security,widget,cross-domain,Javascript,Api,Security,Widget,Cross Domain,我浏览stackoverflow已有一段时间了,希望找到一种适用于以下用例的安全访问模型: 小部件用户嵌入一个javascript文件: 小部件与网站上显示的内容相关,该内容只能从授权网站访问 该应用程序使用谷歌云端点和谷歌云函数访问需要保护的后端API 我正在考虑通过以下方式降低安全风险: js脚本发送一个API请求来生成一个令牌,名为generateToken。参数是用户id、window.document.id和API键A。该密钥允许限制对某些推荐人的访问。它将定期轮换 APIgenera

我浏览stackoverflow已有一段时间了,希望找到一种适用于以下用例的安全访问模型:

小部件用户嵌入一个javascript文件:

小部件与网站上显示的内容相关,该内容只能从授权网站访问

该应用程序使用谷歌云端点和谷歌云函数访问需要保护的后端API

我正在考虑通过以下方式降低安全风险:

  • js脚本发送一个API请求来生成一个令牌,名为
    generateToken
    。参数是用户id、
    window.document.id
    和API键A。该密钥允许限制对某些推荐人的访问。它将定期轮换
  • API
    generateToken
    使用用户id和域生成身份验证令牌,并将其与用户特定的API密钥一起返回
  • widget.js
    接收令牌和密钥B,并将它们存储为会话cookie。代币的有效期是10分钟
  • 令牌和密钥B用于调用受保护的后端API
    • 注意:键B用于监视Google云端点内的API使用情况

    你认为这种方法怎么样

    iFrames如何提供帮助?2020年是否仍在使用