通过JavaScript SDK进行API身份验证
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了通过JavaScript SDK进行API身份验证,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1096字,纯文字阅读大概需要2分钟。
内容图文
我正在为我们的API构建JavaScript SDK. API目前需要(两条腿)OAuth身份验证.显然这不适合JS SDK,因为密钥和秘密都在普通站点(在JS代码中).
Facebook在启动他们的JS SDK时只需要你的app id,所以我想实现类似的东西(或类似的简单).当开发人员请求密钥时,我们需要他们的应用程序域.我在考虑检测提交域的IP地址(例如myclientapp.com有192.168.0.0 IP).然后通过确认远程主机IP地址匹配来验证JavaScript请求.
这是最好/最简单的方法吗?
更新:正如Rup所指出的那样,远程IP将是客户端,因此与应用URL的IP不匹配.所以那就是了.所以重申我正在寻找一种解决方案,允许我在我的JavaScript sdk中为我的API强制执行某种形式的身份验证,这种身份验证不会被其他人欺骗(试图成为别人的应用程序).
谢谢,
加文
解决方法:
请改为对用户进行身份验证
将(已声明但不可信)的应用ID传递到您的init(),jsonp到您的域,然后:
>如果用户已登录*并且已经授权应用程序,则返回有效用于发出API请求的代码.
>弹出一个窗口到您的站点(或重定向,或其他),让用户登录(如果需要)并授权该应用程序.
您可以在身份验证期间控制用户体验,并可以对应用程序ID进行一些人工验证(显示声明的徽标,名称等).
这确实假设你甚至有像Facebook这样的用户概念.
*检查cookie,并非所有浏览器都接受它们以响应ajax请求;但所有浏览器都会发送它们.
内容总结
以上是互联网集市为您收集整理的通过JavaScript SDK进行API身份验证全部内容,希望文章能够帮你解决通过JavaScript SDK进行API身份验证所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。