因此,我正在从事一个项目,该项目将为特定的业务合作伙伴提供信息提要。无需登录,因为业务伙伴的前端必须将预分配的apiKey
请求和任何请求传递给我的REST API。api仅响应包含有效的请求apiKey
,并且在我们生成apiKey时已经预定义了其访问级别。
目前,我正在使用CakePHP,curl
通过传递REST请求方法,并将其硬编码apiKey
为param。到目前为止,安全性还不是问题。但是我们的团队认为,如果我们的业务合作伙伴希望他们的网站在最近流行的JS前端框架工作(例如AngularJS)中完成。
对于同一场景,无法在JS框架中完成这样一个简单的任务。我显然不能简单地给他们提供客户端机密(apiKey
)并将其包含在客户端代码中。任何人都可以查看机密并有权访问我们的REST API。
现在,我们谈论的是安全性,我的团队对此并不了解。有什么方法可以解决这个问题?如何安全,晦涩地将客户端机密与AngularJS的http请求一起传递?有什么建议或者有人指出我可以研究的东西吗?
虽然我有一些想法,但听起来似乎不太对劲。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句