假设我已经顺利创建了 REST 服务并且返回了 json 结果。
我还为我的用户实现了 API key ,以便就我的服务进行通信。
然后A公司开始使用我的服务,我给了他们一个API key 。
然后他们为桥创建了一个HttpHandler
(我不确定这里的术语是什么)为了不暴露API key (我也不是确保这是正确的方式)。
例如,假设我的服务 url 如下:
www.myservice.com/service?apikey={key_comes_here}
公司 A 正在从客户端使用此服务,如下所示:
www.companyA.com/services/service1.ashx
然后他们开始在客户端使用它。
A 公司在这里保护了 api key 。没关系。
但是这里还有一个问题。其他人仍然可以获取 www.companyA.com/services/service1.ashx
url 并开始使用我的服务。
如何防止他人这样做?
郑重声明,我正在使用 WCF Web API 来创建我的 REST 服务。
更新:
公司 A 的 HttpHandler(第二个链接)仅查看主机 header 以查看它是否来自 www.companyA.com
。但我猜很容易伪造。
更新 2:
是否有任何已知的方法来为 url 实现 token 。例如,假设 www.companyA.com/services/service1.ashx
将携带一个代表 token 的查询字符串参数,以便 HttpHandler 检查请求是否正确。
但我想这里有很多事情需要考虑。
最佳答案
您可以始终要求客户端进行身份验证,使用 HTTP Basic Auth或一些自定义方案。如果您的客户要求用户登录,您至少可以限制公众获取 www.companyA.com/services/service1.ashx
URL,因为他们需要登录才能了解
如果您还试图保护 URL 不被合法访问官方客户端的人意外使用,那就更难了。您可以尝试定期更改服务密码,并同时更新客户端。这样,在浏览器中刷新客户端将提取新密码,但构建自定义代码的任何人都将过时。当然,一个真正有决心的用户可以只编写代码,在密码更改时以编程方式从客户端 JS 中获取密码,但您至少可以防止偶然的侵权者。
关于您在更新 2 中提到的 URL token 想法,它可以像这样工作。想象一下,每个月,www.companyA.com/services/service1.ashx
URL 都需要一个新 token 才能工作,例如www.companyA.com/services/service1.ashx?token=January
。一旦到了二月,“一月”将停止工作。服务器必须知道只接受当前月份,并且客户端必须知道发送 token (在客户端网页从浏览器中的服务器加载时确定)
(所有伪代码,因为我不知道 C# 和您将使用哪个 JS 框架)
服务端代码:
if (request.urlVars.token == Date.now.month) then
render "This is the real data: [2,5,3,5,3]"
else
render "401 Unauthorized"
客户端代码(您的服务提供的动态版本) www.companyA.com/client/myajaxcode.js.asp
var dataUrl = 'www.companyA.com/services/service1.ashx?token=' + <%= Date.now.month %>
// below is JS code that does ajax call using dataUrl
...
现在我们的服务代码只接受当前月份作为 token ,而客户端代码在您刷新浏览器时获取最新 token (动态设置为当前月份)。由于该方案确实是可预测的并且可能被黑客攻击,因此剩下的步骤是对 token 进行加盐哈希处理,这样就没人能猜到它会是什么了。
if (request.urlVars.token == mySaltedHashMethod(Date.now.month)) then
和
var dataUrl = 'www.companyA.com/services/service1.ashx?token=' + <%= mySaltedHashMethod(Date.now.month) %>
这会给您留下类似 www.companyA.com/services/service1.ashx?token=gy4dc8dgf3f
的 URL,并且每个月都会更改 token 。
您可能还希望比每个月都更快地过期,您可以使用纪元小时而不是月份来做到这一点。
我很想看看是否有人用某种加密的客户端代码解决了这个问题!
关于javascript - 保护我将在客户端使用的 REST 服务不被他人使用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7850031/