PHP-保护RESTful API请求

Question

我使用JSON API来获取网站数据。 我知道可以使它安全的各种方法，但是我的情况与普通方法不同。

由于存在跨域问题，我必须创建一个API文件夹，其中包含各种PHP文件，这些URL对REStful API发出cURL请求。 然后，我通过我的网站上的AJAX请求这些本地PHP文件。 在下一发行版中，应为JSONP以避免此问题。

这些JSON请求中有许多都包含敏感信息，所以我要做的第一件事就是检查HTTP Referrer，这样人们在检查JavaScript代码并尝试在其浏览器上运行时，不仅会抓取URL。 这显然是不安全的，我也不应该依靠它。

我可能尝试发布到请求中的任何数据都将通过JavaScript进行，因此诸如API密钥或令牌之类的内容将可见，并且会破坏整个目的。

有什么办法可以防止这些PHP文件在网站之外运行？ 基本上使访客无法进入？

Answer 1

这与REST无关。 您有一个服务器端REST客户端，在其中使用cURL调用REST服务，浏览器看不到此过程的任何内容。 除非您不想为此AJAX客户端构建自己的REST服务，否则这只是一个常规的Web应用程序（从浏览器和AJAX客户端的角度来看）。 正如Lorenz在评论中所说，您应该像平常一样使用会话。 就这样。 如果要限制对某些页面的访问，可以使用访问控制解决方案，例如，基于角色的访问控制非常普遍。