【发布时间】:2016-09-06 20:57:43
【问题描述】:
我正在开发一个网站,但我不确定是否了解有关身份验证的内容。
我有一个带有外部 API 的网站,我的网站可以向我的 API 询问信息以检索用户、文章等数据。
此外,用户可以在我的网站上创建帐户并请求 API 访问权限(当然对他的个人资料有一些限制)。所以我的想法是在用户帐户中提供一个密钥/令牌,以允许它从 API 发送/检索他的数据。 (例如,Bugsnag、Google 分析等服务……)
- 是“O-Auth 2”的工作吗?我的网站就像一个拥有密钥的客户,可以让他检索更多数据(基本上是更好的范围)
- 如果用户使用他的 API 令牌添加 Javascript 脚本,那么是什么保护用户使其密钥/令牌被其他用户从 DOM 中窃取?
谢谢!
【问题讨论】:
-
只是想更好地了解您对用户添加 javascript 的恐惧。您希望用户在哪里公开包含其秘密 API 令牌的公共 javascript?你认为用户会出于什么目的这样做?能举个例子吗?
标签: api rest oauth rest-security