1. ev
  2. Soru-cevap
  3. Javascript widget'ıyla kullanım için bir API güvenliğini sağlama

Javascript widget'ıyla kullanım için bir API güvenliğini sağlama

2012-05-15 13 views
7

Blogcular/web sitesi sahipleri tarafından yüklenecek bir javascript eklentisi yazıyorum. Uzak API'm ile iletişim kuracak.Javascript widget'ıyla kullanım için bir API güvenliğini sağlama

ben API gelen kaynaklara erişebilir hizmetiyle bir hesap kayıt yaptıran kullanıcılara ait tek etki sağlamak için API güvenliğini nasıl merak ediyorum. OAuth2'yi okudum ve temelleri anladım, ancak eklenti tarayıcıdan sunucuya değil de sunucudan çalışacağından, bunun ne kadar güvenli olduğundan emin değilim. mixpanel, google analytics gibi hizmetlerin

Ton (kendi sitelerinde JS bir çizgi yüklemek yani web sitesi sahibi) de aynı yöntemi kullanabilirsiniz olark bu yüzden bir sorun çözüldü olmalıdır.

kaynak

2012-05-15 cjroebuck

+0

Tam olarak ne önlemeye çalışıyorsunuz? – SLaks

+0

İnsanların veriye erişmelerini engellemeye çalıştıkları için, Sahip olmadığım veya kontrol etmediğim bir sitenin google analiz verilerine erişiyorum. Google bunu yapıyor, ama nasıl? OAuth kullanıyor musunuz? – cjroebuck

+0

Hayır; Google bunu yapmaz. Google Analytics komut dosyası, herhangi bir verilere erişemez. – SLaks

cevap

3

Sen sunucuların kapalı doğrudan dahil diğer insanları engellemek için komut içine window.location kontrolleri ekleyebilirsiniz.

Ancak, bunu kendileri barındıran sonra, yerel olarak komut dosyalarını indirmek için koruma kaldırma engellemek mümkün değildir.

Tüm sunucu tarafı isteklerini bir API anahtarı gerektirir, ancak düşmanları kolayca meşru sitelerden API anahtarlarını çalabilir.

kaynak

2012-05-15 15:29:41 SLaks

+0

Komut dosyası, API'm ile iletişim kurmadan oldukça işe yaramaz olurdu. Üzgünüm benim sorum biraz belirsiz, bahsettiğim hizmetlerin bunu nasıl uygulamaya koyduğunu biraz kafam karıştı. – cjroebuck

+0

Bahsettiğiniz hizmetlerin hiçbiri herhangi bir bilgiyi iade edemez. – SLaks

+0

SLaks kafasına çarptı. GA ve Mixpanel widget'ları yalnızca veri gönderir ve herhangi bir sitenin verileri kaydetmek için belirli bir GA anahtarını kullanmasını engelleyen hiçbir şey yoktur. Bunun dışında söz konusu verilere erişemez (ve yasal kullanıcı için kolayca filtrelenebilir). Olark durumunda, veriler geri geliyor (yani operatörden gelen mesajlar), fakat oturuma özgü ve kimliği doğrulanmamış kullanıcıya özgüdür, bu yüzden aynı şey geçerlidir (Ben Olark için bir mühendisim ve biz hiçbir şey yapmayız. URL doğrulaması bir çeşittir, çünkü SLaks'un bahsettiği nedenlerden dolayı sonuçsuz olacaktır. –

İlgili konular

 İlgili konular