您可以使用优步 RESTful api 发送提醒,例如“在本地 AMC 看电影”,给优步应用程序用户。 api文档为here .
POST/v1/提醒
但是你必须在 http 请求 header 中放置一个 token (他们称之为服务器 token )以进行身份验证。文件是here .
curl -H 'Authorization: Token YOUR_SERVER_TOKEN' \
'https://api.uber.com/v1/products?latitude=37.7759792&longitude=-122.41823'
用户可以使用 chrome 开发工具查看 token 。我的问题是:
将app token放在前端发送的http请求头中安全吗?为什么? 我应该在服务器上还是在浏览器中使用 Javascript 调用提醒?
最佳答案
虽然可以在 Developer Dashboard 中删除和生成新的服务器 token (下面的屏幕截图),你不应该让你的服务器 token 公开可用(例如通过前端的 JS 变量)。使用此 token ,其他人可以创建、检索、更新和删除提醒。
此外,服务器 token 可用于检索估计值(price 和 time)和 Uber products代表你。这可能听起来微不足道,但可能会影响您的应用程序的 rate limiting (每小时 2000 个请求)。如果服务器 token 落入坏人之手,它可能会有效地阻止您的应用程序定期与 Uber API 通信。
我强烈建议在服务器端实现它。
关于javascript - 调用 RESTful api 时,将 api token 放在 http 请求 header 中是否安全?例如: Uber reminder api,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39908345/