PHPファイルへの外部アクセスを拒否する

Question

私のプラットフォームはAJAXを使用して内部構造（APIなど）と通信します。 AJAXのすべてのリクエストは、globalAPI.php（POSTメソッド）という1つのファイルに送信され、他のPHPファイルと通信します（これは内部構造を隠すために行われました）。

ユーザが自分のサーバからどのように動作してリクエストを出したかをユーザが検出したとすると、自分のプラットフォームにログインしなくても結果が得られると結論づけることができます。

このファイルを外部アクセスにどのように保護できますか？

私はAllow from 127.0.0.1と.htaccessファイルを使用することができますが、ユーザーが彼のIPを127.0.0.1に変更すると、彼はこのファイルにアクセスできますか？

このファイルを保護する別の方法がありますか？

Answer 1

アクセスを制限する場合は、すべてのAPI呼び出しで認証システムを実装する必要があります。

基本的に、ユーザーがDevtoolsから[ネットワーク]タブを開き、クライアントがサーバーAPIに対して行う要求を監視することはできません。高度なユーザーは、各要求で送信されたパラメータを確認し、または異なるパラメータを含む。

このファイルにAJAXを介してアクセスできる場合は、クライアントにアクセスできるようにする必要があります.AJAXコールで許可されているものより多くのものにユーザーがアクセスできないようにする必要があります。これを行うには、APIを保護してください。すべての呼び出しに対してユーザートークンを要求します。サーバーは、どのユーザーがAPIにアクセスしているかを知り、そのポイントからの承認を処理できます。