我公开了一个简单的API,需要确保只有授权用户才能访问它.我将提供一个API密钥进行身份验证.但是,我还想将API密钥关联到某个域(意味着,只有在从授权域使用它时才能使用它).

如果从授权域访问API,如何检查API端？ HTTP_REFERER显然不可靠.建议？

解决方法:

你暴露了什么样的API？有许多不同类型的API – 我假设您不公开您的操作系统的API …

假设您要公开一些Web应用程序的API,您可以查看基于回调URL的OAuth – 您可以阻止通过回调URL调用某些域.

阅读更多关于OAuth.