的情况是:Javascript客户端身份验证(使用SSL,无OAuth2)?
我有一个Web API,它是由两个客户端访问:
- Web App的Javascript编写的,这是精缩
- iOS应用
SSL是托管API的服务器上的所有设置,并且它工作正常。 API没有User Auth,因为它是一种基于位置的搜索应用程序。
我想确保只有web应用程序和iPhone客户端能够实际向API发出请求。对于iPhone客户端来说很简单 - 服务器和应用程序之间的共享秘密就可以实现,并且它使用SSL进行加密,所以我们不担心有人在监视它。
但是,对于Web应用程序,相同的解决方案将无法正常工作。我不能在代码中留下一个字符串,即使它是在那里加密的,这是所有人都需要的。
基本上,我正在寻找一个很好的解决方案来解决这个问题。我只是想确保它只保留给被允许使用它的客户,但我不确定如果不去实施OAuth,我认为这可能是矫枉过正的。有任何想法吗?
谢谢! 丹
很好的建议。谢谢,克劳德:)我以前从来没有写过API。 我会牢记这一点。我认为我最好的选择就是建立一些基本的反垃圾邮件措施,例如阻止相同的IP每隔10秒发出一次以上的请求。 – basicallydan