您如何验证 API 请求来自某个域?

【问题标题】:How do you verify an API request came from a certain domain?您如何验证 API 请求来自某个域?
【发布时间】:2011-05-16 14:40:57
【问题描述】:

我有一个网络 API,我想允许 任何域 向其提交数据。但是,为了阻止虚假垃圾邮件,我想找到某种方法来确保声明它来自某个域的请求实际上来自该域,并且不会有人试图通过在另一个域上发帖来欺骗我代表域名。

例如,如果http://example.com 提交了一些数据 - 这很好。如果脚本 Kiddie #237 提交的数据声称是 example.com - 这很糟糕。

起初我打算使用密钥系统对每个请求进行 HMAC 签名 - 但此 API 的注册将是开放的、免费的和自动化的。我不确定如何判断 PersonA 或 PersonB 是否真的拥有 http://example.com 并且应该获得 API 密钥。

【问题讨论】:

  • 分发与域相关的 API 密钥。然后,您只需检查密钥并确保请求来自有效域。您的密钥必须是密钥有效域的盐渍哈希。只是我的 0.02 美元。

标签: php api dns verification


【解决方案1】:

提供他们必须在该域上上传的密钥文件。然后根据内部数据库检查存在和有效数据。

【讨论】:

  • 好主意,我忘了这一点,但即使是谷歌也使用这种方法。不过,如果有一些不涉及发出 HTTP 请求来验证的答案,我会很好。也许有一天。 code.google.com/apis/accounts/docs/…
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2013-03-12
  • 1970-01-01
  • 2022-12-30
  • 2012-07-04
  • 2021-02-13
  • 1970-01-01
  • 2021-12-21
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode