我公开了一个简单的API,需要确保只有授权用户才能访问它.我将提供一个API密钥进行身份验证.但是,我还想将API密钥关联到某个域(意味着,只有在从授权域使用它时才能使用它).
如果从授权域访问API,如何检查API端? HTTP_REFERER显然不可靠.建议?
解决方法:
你暴露了什么样的API?有许多不同类型的API – 我假设您不公开您的操作系统的API …
假设您要公开一些Web应用程序的API,您可以查看基于回调URL的OAuth – 您可以阻止通过回调URL调用某些域.
阅读更多关于OAuth.