Как скрыть api от посторонних?

Question

KuzmenkoArtem @KuzmenkoArtem

Как скрыть api от посторонних?

Есть api сервер, есть клиент js.
Как спроектировать так что бы посторонний не смог подавать запросы на сервер.?
Спасибо.

Вопрос задан более трёх лет назад
2573 просмотра

Комментировать

Подписаться 3 Оценить Комментировать

Решения вопроса 2

Комментировать

Пригласить эксперта

Ответы на вопрос 5

Комментировать

6 комментариев

KuzmenkoArtem @KuzmenkoArtem Автор вопроса

допусти мне дали ключ, он будет храниться на стороне клиента, кто мешает его украсть? P.S извините если туплю просто я бэкенд девелопер, и там все ясно. А сейчас вот такой вот проект

Написано более трёх лет назад
sbh @sbh

Как вы его красть собрались? Другие сервисы как-то же работают ) И никто не крадет.

Написано более трёх лет назад
KuzmenkoArtem @KuzmenkoArtem Автор вопроса

sbh: нет ну кто мне мешает нажать ф12 найти скрипт и вытащить секретный код. И помощью него посылать запросы на сервак и например накрутить себе денжат, в лучшем случаи)

Написано более трёх лет назад
IvanOne @IvanOne

Хочу заметить что некоторые сервисы проверяют еще и хост, то есть даже если кто то свиснет api ключ то хост уже не свиснет никто)

Написано более трёх лет назад
Алексей Уколов @alexey-m-ukolov Куратор тега PHP

KuzmenkoArtem: Для этого делается два ключа - один публичный, а другой секретный. Секретный ключ в открытом виде не передается, его украсть невозможно.

Написано более трёх лет назад
sbh @sbh

Вот вам и ответ ))))

Написано более трёх лет назад

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Веб-разработка

Средний
Как эффективнее всего вести создание продукта?
- 1 подписчик
- час назад
- 24 просмотра
1

ответ
PHP

+3 ещё

Простой
Каким должен быть скрипт php, чтобы изменял автоматически дату и время в yml-фиде?
- 1 подписчик
- 3 часа назад
- 13 просмотров
0

ответов
JavaScript

Простой
Как в map вернуть развернутый массив?
- 1 подписчик
- 6 часов назад
- 69 просмотров
0

ответов
JavaScript

+4 ещё

Простой
Как записать результаты работы цикла Thymeleaf в переменную JavaScript?
- 1 подписчик
- 10 часов назад
- 35 просмотров
1

ответ
JavaScript

+4 ещё

Простой
Как сузить диапазон генерации случайных чисел?
- 1 подписчик
- 11 часов назад
- 158 просмотров
2

ответа
PHP

Простой
Как правильно заменить плейсхолдеры?
- 1 подписчик
- 12 часов назад
- 86 просмотров
0

ответов
PHP

+1 ещё

Простой
Как вывести время в AM формате?
- 1 подписчик
- 16 часов назад
- 100 просмотров
2

ответа
PHP

+1 ещё

Средний
Есть ли способ размещать публикации по APİ facebook без создания приложения?
- 1 подписчик
- 17 часов назад
- 30 просмотров
1

ответ
JavaScript

Простой
Как написать функцию, которая принимает цифру и возвращает число прописью?
- 2 подписчика
- 18 часов назад
- 224 просмотра
1

ответ
JavaScript

Средний
Как удалить элемент из массива в local storage по его индексу?
- 2 подписчика
- 20 часов назад
- 191 просмотр
3

ответа
Показать ещё Загружается…

JavaScript разработчик

SummerWeb • Ярославль

от 100 000 до 140 000 ₽

JavaScript разработчик

вАйТи

от 5 000 до 25 000 ₽

JavaScript Developer (backend / fullstack)

Brightdata • Тель-Авив

от 5 500 до 6 500 $

Доработать обмен заказами 1с

11 мая 2024, в 00:19

1000 руб./за проект

Разработка сайта (верстка)

10 мая 2024, в 23:51

30000 руб./за проект

Опубликовать приложение в Google play

10 мая 2024, в 23:33

2500 руб./за проект

Answer 1 · 2015-07-02 05:41:11

Если с api будут общаться со стороны клиента - то практически никак.
Копай в сторону Access-Control-Allow-Origin.

Answer 2 · 2015-07-02 10:36:28

Задайте сначала себе вопрос, какую информацию вы собираетесь защищать в этом API.
Если это какой-нибудь обычный html-контент, доступный по гет запросам - то просто забыть, его защитить нельзя.
Если у вас "деньги накручивать" можно таким образом, то нужно пересмотреть решение задачи, т.к. такие операции должны выполняться только авторизованным пользователем.

Answer 3 · 2015-07-02 04:24:09

Александр Таратин @Taraflex

Ищу работу. Контакты в профиле.

Никак.

Ответ написан более трёх лет назад

Комментировать

Answer 4 · 2015-07-02 06:11:26

Автор сделай генерацию ключей и привязывай к хосту клиента, при запросе проверяй их

Answer 5 · 2015-07-02 04:25:44

Вы сторонними API пользовались когда-нибудь?
Клиентам выдаются API-ключи которые используются для авторизации.

Answer 6 · 2015-07-02 08:48:57

Только по токенам (API-ключам), но это не спасает от самого факта отправки запроса клиентом на сервер.
Access-Control-Allow-Origin использовать не советовал бы, так как есть обходные пути.
Ну есть ещё вариант, настроить шлюз сервера на пропуск запросов только с определенных IP-адресов, но это уже выходит за рамки указанных тегов. :)

Answer 7 · 2015-07-02 08:47:17

Можно сделать финт ушами и принимать запрос на не зарегистрированный домен. Клиентское приложение обязано будет у себя прописать ваш тайный хост.

Как скрыть api от посторонних?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт