0
私は通常、アクセスのためにAPIキーヘッダーを必要とするAPIエンドポイントを持っています。今、私はクロムエクステンションでエンドポイントを使いたいと思っています。何とかそのエンドポイントへのアクセスを保護する必要があります。別の方法がありますか?誰もが拡張機能のJSファイルを読むことができるので、APIキーは機能しません。クロムエクステンションのキーでAPIを保護する
TLDR:拡張機能だけがAPIエンドポイントを呼び出すことができるようにするにはどうすればよいですか。ここで
私の考えでは、これまでに以下のとおりです。
難読化:拡張機能からのみ許可要求:ちょうどAPIキー
原点ヘッダを取得することが少し難しくなります。ただし、ブラウザ外のカール要求でヘッダーを簡単にスプーフィングすることができます。
- IPレートの制限:IPあたりxリクエストのみを許可します。プロキシによって腐敗する可能性があり、パブリックネットワーク上のユーザーに問題を引き起こす可能性があります。
- ユーザー登録:ユーザーが個々のAPIキーを登録します。しかし、これは本当にオプションではありません。それは大きな障壁となるでしょう。
これは絶対に避けてください。たとえば、chrome.identityなどの安全なトークンを渡して、ユーザーのサーバー側を検証する必要があります。 –