Какой создать хеш при передачи api?

Question

[Artem0071]

Сделал свой апи, но как сделать так, чтобы чужие люде не достучались до него?

Т.е. чейчас есть сайт mydomen.ru, и есть сайт с апи api.mydomen.ru

На основном сайте делаю запрос типа api.mydomen.ru/post?id=1

Есть желание конечно делать как то так:

api.mydome.ru/post?id=1&hashkey=somehashkey

Но я не знаю как генерировать этот ключ

И апи с основной - все самописные велосипеды, тк учусь делать, поэтому готовые решения не так интересны

Апи на пхп, основной на js (vuejs)

Comments

[riot26]

Ctrl+U и видим ключ.

[Artem0071]

riot26: а как тогда лучше сделать?

[Сергей Соколов]

Чем отличаются посетители вашего сайта от «чужих людей»? Вы как-то авторизуете пользователей? Плохо будет, если однажды залогинившись к вам, посетитель запоминал параметры и в дальнейшем вызвал ваш api с параметрами, которые запомнил? И, надеюсь, api у вас доступен только через https?

Answer 1

[Alexander Pushkarev]

Хеш = мд5(домен + соль)
И уже в api смотрите с какого домена запрос. Если домен разрешён, то данные отдавайте

Comments

[Volodimir Babeshko]

Немного не понял - если проверять в апи домен, то зачем хеш в таком случае, если в хеш зашивать домен, то что мешает его скопировать (если соль не динамичная)?

[riot26]

md5 уже лет 10 можно использовать разве что для проверки целостности

[tkutru]

riot26 +1

Answer 2

[Rsa97]

Если сайт публичный, без авторизации, то никак. Всё, что отправляется и принимается браузером, можно посмотреть через средства разработчика. Все скрипты, работающие в браузере, можно разобрать и изучить.

Answer 3

[Сергей Соколов]

Например, как это реализовано у ВКонтакте. Посетитель авторизуется на основном сайте. Для выполнения запросов к api он получает токен – хэш от его id, иногда ip адреса или подсети, «секрета» самого ВК, «секрета» приложения. С любым запросом к api идёт этот хэш, который гарантирует только то, что запрос пришёл от имени такого-то пользователя (и с валидного IP, а не «вдруг» с другого континента).

Кроме этого, при запросе вычисляется хэш от параметров запроса и «секрета» приложения. Это позволяет убедиться в том, что параметры запроса не подделаны в клиенте – т.к. «секрет» приложения не покидает серверов и не попадает в клиент.