Webアプリケーションでのみ必要とする一連のRESTサービスがあります。私は、ユーザーが自分の資格情報を使用して、サードパーティのアプリケーションでサービスを利用できるようにしたくない(私のデータが支払われているので)。私は、私のjavascriptだけが、スプーフィングできないブラウザからサービスへの呼び出しを行うことができるようにする方法があります。RESTサービスでリクエストの発信を強制する方法はありますか
これは恐らく創造的な問題です。
Webアプリケーションでのみ必要とする一連のRESTサービスがあります。私は、ユーザーが自分の資格情報を使用して、サードパーティのアプリケーションでサービスを利用できるようにしたくない(私のデータが支払われているので)。私は、私のjavascriptだけが、スプーフィングできないブラウザからサービスへの呼び出しを行うことができるようにする方法があります。RESTサービスでリクエストの発信を強制する方法はありますか
これは恐らく創造的な問題です。
私はREST APIも提供しています。私はいつも静的であることができるAPIキーを偽装することができます。次は、クリケット側で生成され、各要求時にサーバー側で提案される署名です。署名は、すべてのパラメータと秘密のパスワードの組み合わせによって構築されます。途中の人が別のパラメータで同じ呼び出しを実行するのを防ぐことができます。
偽装されたリクエストを再度送信できるのは悪いことです。私はすでにそれを防ぐ方法を知らない。
私はすでに素晴らしい認証モデルを用意しており、すべてがTLSを通じてトンネリングされています。しかし、ええ、そのスプーフィングが問題です。 – Slappy