我正在考虑Google静态地图API,它将您限制为1000张静态地图,如果您注册了一个帐户,则会更多。当客户端上的所有内容都是公开的时,他们如何跟踪账户等?浏览器内客户端API的身份验证?
对于大多数服务器到服务器API,我给了一个access_token/key/etc。我可以传递给服务来证明我确实是我,但在客户端上有任何这样的access_token/key /等。会立即成为公众的知识。
一般来说,客户端库(FB SDK,Stripe,Google等)使用哪些策略来执行身份验证,以及他们如何解决客户端上的所有内容都是公开的事实?
使用Google静态地图,仍需要从Google服务器请求地图图片,因此当时可以检测到使用情况;他们可能会使用客户端发送的HTTP referer信息将每个请求分配给一个帐户。你究竟想要完成什么? – eggyal
我想我的问题是:谷歌如何知道它实际上是我的网站上要求图像的页面?什么阻止某人从我的一个页面复制URL,更改参数并在整个站点上使用它,在过程中使用配额? –
用户的浏览器在Google的请求信息中包含引用页面的地址...而用户自己可以操纵该信息来误报其他人的网站(为了什么目的?),但这不是另一个网站的内容能够以你描述的方式去做。 – eggyal