Как достигается безопасный механизм работы с REST API на примере MongoLab

Question

[likejavascript]

Хочу разобраться как реализовать безопасное взаимодействие с REST API сервером по примеру облачного хостинга MongoLab.

При регистрации нового аккаунта выдается некий apiKey, который подставляется во все запросы к этому сервису:

https://api.mongolab.com/api/1/databases?apiKey=<api-key>

Я так понимаю, что это некий открытый ключ в системе шифрования, с помощью которого идентифицируется клиент? Но как проверяется, что это именно тот клиент, который является владельцем сайта, ведь я могу отправить такой же запрос с абсолютно другого сайта и по идее все также отработает?

В общем интересует как и с помощью чего реализуются подобные REST API сервисы (желательно на NodeJS), поскольку есть необходимость сделать нечто подобное у себя в проекте. Может есть какие-нибудь готовые примеры/библиотеки для реализации подобного функционала?

Comments

[Mikhail Osher]

Люто плюсую. Самому интересно.

Answer 1

[Mikhail Osher]

Вероятно, никак. Светить ключ - на страх и риск.
docs.mongolab.com/faq/#do_you_have_a_rest_api

Yes, we do. However, it is not our recommended approach to connect to the database. You should only use the REST API if you cannot use one of the standard MongoDB drivers.

Насколько я понимаю, рекомендуют использовать драйверы.
Лично я бы использовал их API для личных админок и т.д., куда буду иметь доступ только я.

Comments

[likejavascript]

MongoLab это просто пример. Мне нужно сделать так, чтобы пользователь создал некий документ и смог его через iframe разместить на своем сайте и разрешать или запрещать его редактирование.

Answer 2

[Петруша Укропов]

Привязка к домену.
При получении идентификатора, пользователь указывает домен, на котором этот идентификатор будет использоваться. При каких-либо действиях проверять с какого домена идет запрос.

Comments

[likejavascript]

А домен подменить нельзя? или https решит эту проблему?