我有一个存储用户数据的网站。我正在开发一个Wordpress插件,允许其他网站访问为每个用户存储的数据并上传新数据。确保API密钥的安全
例如,乔在我的网站上创建一个帐户并上传信息。 Joe在他自己的网站上安装插件,这将使他能够访问他存储在我网站上的数据。
Joe网站的访问者将能够在我的网站上将数据上传到Joe的帐户。 Joe的网站将决定谁可以访问,谁可以修改,谁可以在我的网站上将新信息上传到Joe的帐户。
我想过在我的网站上发布API并让Wordpress插件访问它。据我所知,乔的网站会有一个API密钥,允许他的网站通过我的网站进行身份验证。但是,会阻止其他人使用该API密钥并假装成Joe的网站?
我已经看到了我想要做的类似实现,当我检查客户端上的代码时,我可以看到api键。什么会阻止我使用该API密钥并假装成为网站?
有没有一种方法来保护API密钥,以便乔的网站访问者没有看到它?
我看到这个答案在这里:How to securely use api key
但是不会访问者仍然能够看到关键时候乔的网站张贴在请求我的网站?
谢谢。
这是有道理的。谢谢。因此,在乔的网站上运行的Wordpress插件应该有一个PHP脚本,当Joe的访客将他们想要加载到Joe的帐户的信息发布到我的网站时,而不是直接发布到我的网站上,他们会发布到Joe的服务器中的php脚本,反过来会发布到我的网站?那我该怎么去实现呢?谢谢 – jdias
我已更新我的答案 –
感谢您更新您的答案。但是,如果joe的访问者检查joe的网站中的页面,那么api密钥是不是可见的?或者你的意思是打电话给我的网站将从乔的网站,而不是从浏览器的PHP脚本完成? – jdias