如何获取请求发送者的URL到我的API?
[英]How can I get the URL of the request sender to my API?
问题描述
我正在尝试使用API密钥和客户端的网站URL保护我的API路由。 我正在使用元组(api_key, website_url)授予对我的API的访问权限。 实际上,网站URL是在请求中发送的。 示例:使用Angular httpClient
this.restPost(this.endpoint,body,options)
选项包括:API密钥和网站URL。
如何检查选项中插入的website_url是否与请求发送者的URL相匹配? 我在后端使用Flask微框架。
1 个解决方案
解决方案1
1 已采纳 2019-04-29 20:01:20
您要的是不可能的。
从根本上讲,如果正在通过公共Internet向您发送请求,则您将无法知道向您发送请求的应用程序的身份。
您可以对远程客户端进行有根据的猜测。 但是,由于远程客户端在您无法控制的平台上运行,因此,没有什么可以阻止攻击者对它的工作方式进行反向工程,然后向您发送相同的请求。 如果攻击者足够熟练,您将无法分辨出差异。
有一些工具可以帮助您检测和阻止恶意客户端,但是也有一些工具可以使恶意客户端逃避检测(只需搜索Stack Overflow即可找到许多反向问题的示例)。 这是一场军备竞赛,如果想赢得胜利,您将需要比另一方投资更多的时间和金钱。
解决此问题的正常方法是使其成为您客户的问题。 向他们收取一定数量的API请求,如果超出请求,则向他们收费。 然后,如果他们与其他人共享API密钥,那么他们还需要为他们支付账单。 然后,您不必在乎它的API密钥是什么:您会以任何一种方式获得报酬。
如果您无法向他们收费(例如,如果这是一项免费服务),那么下一件最好的事情就是限制速率。 单个API密钥的每秒请求不得超过10个。
如果您对这种事情很认真,则可能不想重新发明轮子。 那里有云规模的API网关服务。 选择一个并使用它来处理所有API密钥身份验证和客户端限制。
使用request.get时,如何跳过字符串中的错误URL?
[英]How can I skip over bad url's in my string when using request.get?
我的API Get Request可以让我不超过100,如何循环它以便我可以获得所有项目?
[英]My API Get Request can get me no more than 100 , how to loop it so I can get all Items?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
如何获取电子邮件 gmail python API 的发件人
知道请求 url 和标头后,如何将 url 发送到 api
使用request.get时,如何跳过字符串中的错误URL?
Scrapy Request GET url,如何在url中添加关键字?
我的API Get Request可以让我不超过100,如何循环它以便我可以获得所有项目?
如何在我的App Engine应用程序中请求本地网址?
如何使用scrapy在errback中获取原始请求网址
ConnectionError 后如何获取请求的 URL?
如何从请求对象获取发件人信息
如何通过 Postman 使我的 API 请求工作?
相关标签