如何验证API的用户?
如何验证API的用户?
提问于 2009-08-14 02:49:54
一个网站,我的共同拥有已经要求我们添加一些内容到我们的网站,这是伟大的广告对我们。问题是,由于我们公司的性质,我们必须非常小心谁可以访问我们的网站。(我们向广播电台分发唱片用的音乐)
到目前为止?
因此,我已经开始了一个新的网页内容。我想我想要一些带有调用站点名称的散列字符串,我们的站点的密钥,或者日期,加密并包含在从调用站点发送的查询字符串或cookie中。这样做的目的是防止从其他站点调用它(他们的站点也是密码保护的),包括DNS欺骗来欺骗我的站点以为它是从该站点请求的。
所以我认为这是一个很好的解决方案。
- 是吗?如果没有,我应该尝试什么呢?
- ,我到底该怎么做呢?我想我应该让API在他们的站点上的iFrame中调用,以源作为我的站点,并使用查询字符串的页面,但是我应该如何获得调用站点的URL?我应该使用什么来加密查询字符串密钥?
回答 2
Stack Overflow用户
回答已采纳
发布于 2009-08-14 03:08:56
我建议使用公钥加密技术。为每个用户生成一个您发送给他们的公钥,并为您的记录生成一个私钥。
他们应该加密当前时间和其他自我识别信息,如IP地址。然后,当您收到握手时,您可以使用私钥解密它,然后验证时间不太遥远,IP地址是否正确等。
Stack Overflow用户
发布于 2009-08-14 03:00:36
您可以要求SSL连接并从您的服务器发出证书,您需要客户端使用这些证书来验证他们的身份。这将是最简单的方法。
编辑
对我来说,我不确定你是否担心有人试图使用别人的帐户,或者你的服务是否应该在域名的基础上付费。
您确实无法防止后者的影响,因为任何有足够决心的人都可以创建自己的API,在一个有效的上下文中与您的API进行接口,并从他们希望将信息传播到的任何其他站点调用它。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/1275814
复制相关文章
相似问题
腾讯云开发者
