Защита публичного API?

Question

[JRazor]

Доброго времени суток.

Есть API для AJAX запросов. Суть в получении истории сообщений для чатов. Но чат будет не один, а много.

Собственно, вопрос: как максимально обезопасить получение и отправку данных:

1) Только для GET запросов
2) Для всех типов запросов.

Answer 1

[Daemon23RUS]

Криптография по над всем.
Церковные деятели курят в стороне.
А Ваша фантазия не должна иметь границ.
Вместо http:// .... ?msg=Hello%20Worls&user=Vasya
Передаете http:// .... ?crypt=sec5c243y5mc245ym28yer78ygx23784fp978213g4e79rfg2374xfn8623t4rtf1083t408t3

Comments

[Roman K]

Забыл добавить, что HTTPS ни в коем случае не использовать.

[Daemon23RUS]

Roman Kitaev: Да пофигу на https
Все банально, шифруем передаваемые значения. А зашифрованные должным образом значения можно передавать по открытым каналам.

[Roman K]

Daemon23RUS: Зачем шифровать, если есть https?

[Daemon23RUS]

LOL

Забыл добавить, что HTTPS ни в коем случае не использовать.

или

Зачем шифровать, если есть https?

Вы уж там межу собой как нить определитесь ;)

Answer 2

[Сергей П]

Максимально обезопасить можно применив https+криптоключ сессии.
Клиент авторизуется на сервер по паролю пользователя. В ответ сервер присылает сессионный ключ, который клиент будет добавлять в ajax-запросы.
Чтобы не хранить текущий сессионный ключ клиента на сервере, можно просто шифровать время, IP и login клиента, идентификатор чата. По приходу сообщения расшифровываем эти данные и проверяем можно ли такому отдавать контент. Обновленный коиптоключ сессии можно присылать с каждым ответом от сервера. При просрачивании заставляем переавторизоваться или, скажем, явно запросить новый коиптоключ.