0
私は長い間、この質問に対して良い答えを探していましたが、私の問題の解決策は見つけられませんでした。jQueryウィジェットの暗号化の初期化変数
私は顧客のウェブサイトで実装できるjQueryウィジェットを作成したいと考えています。しかし、このウィジェットはAPIKeyを使って初期化する必要があります。これは、顧客ページにアクセスした顧客ではなく、私が秘密にしたいものです。
したがって、私は、PHP、Perlなどのような最も主要なスクリプト言語に存在しなければならない暗号化について考えました。たとえば、hash_hmac ...そうでなければ、APIKeyは抽出できますが、暗号化された文字列もコピーできます。それ以外にも、私はハンドシェイクを設定することを考えていましたが、このハンドシェイクのためにAPIKeyが必要となります...
ウィジェットはコンテンツの事実上問題です表示します。
は、したがって、私の質問は次のとおりです。 あなたたちはので、私は、このように顧客のウェブサイトの訪問者から安全であるAPIKEYで、顧客サイトのsecurlyに私のウィジェットを実装することができます私のために何か良いアイデアのか、解決策を持っていますか?
ありがとうございます。
私は既にこのアプローチを採用していますが、refererを操作してドメインを偽造できるハッカーたちのために識別子が表示されています。それで十分安全ですか?私は握手について考えましたが、それはあなたがウィジェットを初期化する一回の初期化コードを返す目に見えない識別子を持つ別の要求を必要とするでしょう。 –
安全ですか? Googleではこの同じ手法を使用して、サイトの所有者であることを確認しています(htmlタグの検索の確認)。顧客が実際にあなたのスクリプトとキーをページに配置できるのであれば、そのページ/ドメインを管理できます。スクリプトがページからキーとドメインを取得し、それをデータベースの内容と比較すると、そのページは移動/許可されることができます。ハッカーはリダイレクトされたWebページにスクリプトをインストールできますが、そのドメインとキーは一致しません...ハッカーにエラーメッセージを表示します。希望が役立ちます。 – Rob
実際、ハッカーが、ドメインをリファラーとして、必要な鍵でカール要求を発した場合、アクセス権が付与されますか?それはドメイン自体からではありませんか?どのように私はこの 'ハック'を克服することができます –