HTTP-запрос к серверному api из плагина. Как на сервере защититься от подмены
Наверное не получилось вложить нужный смысл в заголовок.
Более полно проблема выглядит так. Пишется плагин под хром, который работает с серверным api. Как бы так извратиться и наверняка определить на сервере, что запросы ему шлет именно данный плагин. Отсеивать другие запросы.
Чуть осложнить жизнь «подделывателям» можно, отправляя запрос по HTTPS, зашифрованным POST без параметров, только бинарное тело, и выставив неправильные HTTP-заголовки (если пришли правильные — значит подделка, пусть сидят гадают, почему, жалкие людишки). Отвечать сервер тоже должен нестандартно (всегда с кодом 200), бинарным ответом.
При чем тут oauth?
Еще раз. Представьте что есть некоторое api, доступ к которому осуществляется по http. Шлются запросы, возвращаются ответы. Нужно, чтобы api умело отличить посланные из хром-плагина запросы от всех остальных. Любой параметр, посланный в запросе может быть подсмотрен. Фактически можно полностью продублировать любой запрос не из плагина.
> Фактически можно полностью продублировать любой запрос не из плагина.
Ну. Защититься нельзя. А так каждый плагин будет иметь уникальную «метку», основанную на вашем же api (этим данным можно верить). Если поведение плагина будет отличаться от среднестатистического (=> кто-то использует api не из плагина) его можно забанить.
Что тут можно ещё посоветовать? Использовать https? Обфусцировать код плагина? Использовать NaCl? Писать говнокод чтобы затруднить жизнь желающему покопаться во внутренностях плагина?
