Как скрыть api от посторонних?

Question

KuzmenkoArtem @KuzmenkoArtem

Как скрыть api от посторонних?

Есть api сервер, есть клиент js.
Как спроектировать так что бы посторонний не смог подавать запросы на сервер.?
Спасибо.

Вопрос задан более трёх лет назад
2795 просмотров

Комментировать

Подписаться 3 Оценить Комментировать

Решения вопроса 2

Комментировать

Пригласить эксперта

Ответы на вопрос 5

Комментировать

6 комментариев

KuzmenkoArtem @KuzmenkoArtem Автор вопроса

допусти мне дали ключ, он будет храниться на стороне клиента, кто мешает его украсть? P.S извините если туплю просто я бэкенд девелопер, и там все ясно. А сейчас вот такой вот проект

Написано более трёх лет назад
sbh @sbh

Как вы его красть собрались? Другие сервисы как-то же работают ) И никто не крадет.

Написано более трёх лет назад
KuzmenkoArtem @KuzmenkoArtem Автор вопроса

sbh: нет ну кто мне мешает нажать ф12 найти скрипт и вытащить секретный код. И помощью него посылать запросы на сервак и например накрутить себе денжат, в лучшем случаи)

Написано более трёх лет назад
IvanOne @IvanOne

Хочу заметить что некоторые сервисы проверяют еще и хост, то есть даже если кто то свиснет api ключ то хост уже не свиснет никто)

Написано более трёх лет назад
Алексей Уколов @alexey-m-ukolov Куратор тега PHP

KuzmenkoArtem: Для этого делается два ключа - один публичный, а другой секретный. Секретный ключ в открытом виде не передается, его украсть невозможно.

Написано более трёх лет назад
sbh @sbh

Вот вам и ответ ))))

Написано более трёх лет назад

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

PHP

Простой
Что лучше использовать для связей в бд?
- 2 подписчика
- 8 часов назад
- 101 просмотр
1

ответ
PHP

Простой
Deprecated: Implicit conversion from float to int loses precision in что не так?
- 1 подписчик
- 11 часов назад
- 47 просмотров
1

ответ
JavaScript

+2 ещё

Простой
Как сделать плавное появление скрытых под display: none; карточек по клику на кнопку, при подключеной AOS?
- 1 подписчик
- 13 часов назад
- 76 просмотров
1

ответ
JavaScript

+4 ещё

Сложный
Почему в WebSockets History в Burp Suite отображаются кракозябры?
- 1 подписчик
- вчера
- 78 просмотров
2

ответа
JavaScript

Простой
Как выводить JS код?
- 2 подписчика
- вчера
- 995 просмотров
1

ответ
JavaScript

Простой
Как заставить срабатывать trigger change в Select2?
- 1 подписчик
- вчера
- 51 просмотр
0

ответов
JavaScript

Простой
Почему появляется ошибка Uncaught Reference?
- 1 подписчик
- 20 дек.
- 83 просмотра
2

ответа
JavaScript

Средний
Порождается ли событие в элементе или оно само по себе?
- 1 подписчик
- 20 дек.
- 96 просмотров
1

ответ
JavaScript

+2 ещё

Средний
Как можно изменить настройки модуля навигации карт Google на Яндекс карты?
- 2 подписчика
- 19 дек.
- 206 просмотров
2

ответа
PHP

+1 ещё

Средний
Как сортировать новости в результатах поиска по дате публикации?
- 5 подписчиков
- 19 дек.
- 1135 просмотров
1

ответ
Показать ещё Загружается…

JavaScript FullStack разработчик

Rocket • Смоленск

от 80 000 до 130 000 ₽

JavaScript Fullstack

OnClass

от 2 000 до 7 000 $

JavaScript FullStack developer

Wanted. • Санкт-Петербург

До 220 000 ₽

Разработать телеграм бота с реферальной системой, Юкассой и ChatGPT

23 дек. 2024, в 02:13

20000 руб./за проект

Собрать из исходного кода и запустить в докере рабочее приложение с бд

22 дек. 2024, в 22:57

500 руб./за проект

Аппликация для фильтра заказов

22 дек. 2024, в 20:40

10000 руб./за проект

Answer 1 · 2015-07-02 05:41:11

Если с api будут общаться со стороны клиента - то практически никак.
Копай в сторону Access-Control-Allow-Origin.

Answer 2 · 2015-07-02 10:36:28

Задайте сначала себе вопрос, какую информацию вы собираетесь защищать в этом API.
Если это какой-нибудь обычный html-контент, доступный по гет запросам - то просто забыть, его защитить нельзя.
Если у вас "деньги накручивать" можно таким образом, то нужно пересмотреть решение задачи, т.к. такие операции должны выполняться только авторизованным пользователем.

Answer 3 · 2015-07-02 04:24:09

Александр Таратин @Taraflex

Ищу работу. Контакты в профиле.

Никак.

Ответ написан более трёх лет назад

Комментировать

Answer 4 · 2015-07-02 06:11:26

Автор сделай генерацию ключей и привязывай к хосту клиента, при запросе проверяй их

Answer 5 · 2015-07-02 04:25:44

Вы сторонними API пользовались когда-нибудь?
Клиентам выдаются API-ключи которые используются для авторизации.

Answer 6 · 2015-07-02 08:48:57

Только по токенам (API-ключам), но это не спасает от самого факта отправки запроса клиентом на сервер.
Access-Control-Allow-Origin использовать не советовал бы, так как есть обходные пути.
Ну есть ещё вариант, настроить шлюз сервера на пропуск запросов только с определенных IP-адресов, но это уже выходит за рамки указанных тегов. :)

Answer 7 · 2015-07-02 08:47:17

Можно сделать финт ушами и принимать запрос на не зарегистрированный домен. Клиентское приложение обязано будет у себя прописать ваш тайный хост.

Как скрыть api от посторонних?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт