javascript - 保护我将在客户端使用的 REST 服务不被他人使用

标签 javascript wcf api rest wcf-web-api

假设我已经顺利创建了 REST 服务并且返回了 json 结果。

我还为我的用户实现了 API key ,以便就我的服务进行通信。

然后A公司开始使用我的服务,我给了他们一个API key 。

然后他们为桥创建了一个HttpHandler(我不确定这里的术语是什么)为了不暴露API key (我也不是确保这是正确的方式)

例如,假设我的服务 url 如下:

www.myservice.com/service?apikey={key_comes_here}

公司 A 正在从客户端使用此服务,如下所示:

www.companyA.com/services/service1.ashx

然后他们开始在客户端使用它。

A 公司在这里保护了 api key 。没关系。

但是这里还有一个问题。其他人仍然可以获取 www.companyA.com/services/service1.ashx url 并开始使用我的服务。

如何防止他人这样做?

郑重声明,我正在使用 WCF Web API 来创建我的 REST 服务。

更新:

公司 A 的 HttpHandler(第二个链接)仅查看主机 header 以查看它是否来自 www.companyA.com。但我猜很容易伪造。

更新 2:

是否有任何已知的方法来为 url 实现 token 。例如,假设 www.companyA.com/services/service1.ashx 将携带一个代表 token 的查询字符串参数,以便 HttpHandler 检查请求是否正确。

但我想这里有很多事情需要考虑。

最佳答案

您可以始终要求客户端进行身份验证,使用 HTTP Basic Auth或一些自定义方案。如果您的客户要求用户登录,您至少可以限制公众获取 www.companyA.com/services/service1.ashx URL,因为他们需要登录才能了解

如果您还试图保护 URL 不被合法访问官方客户端的人意外使用,那就更难了。您可以尝试定期更改服务密码,并同时更新客户端。这样,在浏览器中刷新客户端将提取新密码,但构建自定义代码的任何人都将过时。当然,一个真正有决心的用户可以只编写代码,在密码更改时以编程方式从客户端 JS 中获取密码,但您至少可以防止偶然的侵权者。

关于您在更新 2 中提到的 URL token 想法,它可以像这样工作。想象一下,每个月,www.companyA.com/services/service1.ashx URL 都需要一个新 token 才能工作,例如www.companyA.com/services/service1.ashx?token=January。一旦到了二月,“一月”将停止工作。服务器必须知道只接受当前月份,并且客户端必须知道发送 token (在客户端网页从浏览器中的服务器加载时确定)

(所有伪代码,因为我不知道 C# 和您将使用哪个 JS 框架)

服务端代码:

if (request.urlVars.token == Date.now.month) then
   render "This is the real data: [2,5,3,5,3]"
else
   render "401 Unauthorized"

客户端代码(您的服务提供的动态版本) www.companyA.com/client/myajaxcode.js.asp

var dataUrl = 'www.companyA.com/services/service1.ashx?token=' + <%= Date.now.month %>
// below is JS code that does ajax call using dataUrl
...

现在我们的服务代码只接受当前月份作为 token ,而客户端代码在您刷新浏览器时获取最新 token (动态设置为当前月份)。由于该方案确实是可预测的并且可能被黑客攻击,因此剩下的步骤是对 token 进行加盐哈希处理,这样就没人能猜到它会是什么了。 

if (request.urlVars.token == mySaltedHashMethod(Date.now.month)) then


var dataUrl = 'www.companyA.com/services/service1.ashx?token=' + <%= mySaltedHashMethod(Date.now.month) %>

这会给您留下类似 www.companyA.com/services/service1.ashx?token=gy4dc8dgf3f 的 URL,并且每个月都会更改 token 。

您可能还希望比每个月都更快地过期,您可以使用纪元小时而不是月份来做到这一点。

我很想看看是否有人用某种加密的客户端代码解决了这个问题!

关于javascript - 保护我将在客户端使用的 REST 服务不被他人使用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7850031/

上一篇:javascript - 在 Fancybox 中显示 Google Visualization API(JS 弹出窗口)

下一篇:javascript - 在表单元素上使用 jQuery 模拟按键

相关文章:

javascript - 在 CSS 中使用 JavaScript

javascript - 带有 && 和 .length 的 if 语句

c# - 覆盖 WCF 服务中的 ToString 方法

java - 使用单个命令连接多个列表的良好 Java 习惯用法是什么?

php - 如何在 Laravel 中处理来自外部服务器的传入 POST 数据

javascript - 如何创建一个独立的 DOM 元素?一个不从 parent 那里继承 css 等

PHP 表单,检查 2 个日期是否相隔不远

c# - 在 WCF Web 服务客户端中生成 XML 哈希

c# - 如何在服务器 app.config 中保存动态端点?

javascript - 单击按钮时隐藏/显示隐藏的 div

©2024 IT工具网  联系我们