[英]How do you verify an API request came from a certain domain?
我有一个Web API,我想允许任何域提交数据。 但是,为了防止虚假垃圾邮件发生故障,我想找到一些方法来确保来自某个域的请求实际上来自某个域,并且有人不会试图通过在其他域上发布来欺骗我。
例如,如果http://example.com提交了一些数据 - 这很好。 如果脚本小子#237提交声称是example.com的数据 - 这很糟糕。
起初我打算使用密钥系统来HMAC签署每个请求 - 但是这个API的注册将是开放的,免费的和自动化的。 我不知道如何判断PersonA或PersonB是否真的拥有http://example.com并且应该获得API密钥。
提供他们必须在该域上传的密钥文件 。 并检查内部数据库的存在和有效数据。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.