Security 如何为SurveyMonkey生成有限访问API令牌？_Security_Surveymonkey

Security 如何为SurveyMonkey生成有限访问API令牌？

security

Security 如何为SurveyMonkey生成有限访问API令牌？,security,surveymonkey,Security,Surveymonkey,我正在创建一个客户端应用程序（即web浏览器中的HTML/CSS/JS），该应用程序从SurveyMonkey帐户检索调查信息，并生成适当的表单提交。应用程序本身工作正常，但它依赖于知道API键来调用get\u survey\u list和get\u survey\u details。问题在于，任何人都可以轻松提取密钥（例如，通过使用浏览器的调试工具检查网络请求），并执行更多特权操作，如get_responses，这是私人信息，因此不应以这种方式公开访问有没有办法创建某种“受限访问API令牌”

我正在创建一个客户端应用程序（即web浏览器中的HTML/CSS/JS），该应用程序从SurveyMonkey帐户检索调查信息，并生成适当的表单提交。应用程序本身工作正常，但它依赖于知道API键来调用

get\u survey\u list

和

get\u survey\u details

。问题在于，任何人都可以轻松提取密钥（例如，通过使用浏览器的调试工具检查网络请求），并执行更多特权操作，如

get_responses

，这是私人信息，因此不应以这种方式公开访问

有没有办法创建某种“受限访问API令牌”？例如，我想创建一个只被授权执行特定类型API调用的API

这是不可能的，您可以生成的唯一授权令牌是有文档记录的完全访问令牌

在这种情况下，您最好使用一个可以调用的代理web应用程序，然后代表客户端进行API调用。

如果您想知道为什么我要使用这种方法，而不是只共享

https://www.surveymonkey.com/s/XXXXXX

链接或嵌入到iframe中，我正试图将其整合到一个专门设计的网站中。我不确定我是否遵循了你的推理。weblink collector链接的目的是收集受访者的回复，但get_survey_details和get_survey_list不允许您收集回复。有API支持提交响应；回答只能通过SurveyMonkey收集器收集。@TonyMase，是的，获取调查信息是问题的前半部分（以便它能够以适当的形式呈现给用户），但我需要某种方法才能捕获结果。听起来我需要去读一些关于收集器的书。IP限制可以用来限制对特权函数基于令牌的访问吗？这不是SurveyMonkey API的一个功能，不是吗