繁体 English 中英

用Javascript保护API密钥

[英]Securing API Keys in Javascript

原文 2012-06-27 22:53:40 3 1 javascript/ security/ cakephp/ api-key

我正在为网站构建付款插件，用户可以在其中用真钱购买一些网站的实习货币。 我使用的处理付款过程的后端是这个。 它（与其他人一起）提供一个JavaScript库来与其API通信，因此您不必让系统接触敏感的付款数据（例如信用卡号等）。

问题是：目前，api密钥，秘密哈希和其他易受攻击的数据仅被硬编码到我的脚本中，该脚本启动与服务器的通信。 因此，从理论上讲，每个半血统的用户都可以将其复制到浏览器中，并且可以对其进行讨厌的处理，特别是如果他们可以访问api文档。

因此，这是不安全的，并且绝对不能通过这种方式进行。

我正在使用cakephp，我想在按下提交按钮后，通过对我的控制器/模型进行一些ajax调用来收集那些敏感键。 问题在于，这种连接不受保护，很容易被“中间人”使用。

还有其他更好的方法来保护JavaScript中的API密钥吗？

永远不要使用基于令牌的auth，https和csrf令牌，而是在客户端上使用秘密。

使用oauth，这样用户甚至不需要向您发送密码。 使用其他人的身份验证系统。

在Javascript Web App中保护私有API密钥

[英]Securing Private API keys in Javascript Web App

[英]Securing API Keys on clients (JavaScript, Android, iOS, etc.)

[英]Securing Javascript API key

[英]Securing JavaScript API

[英]Securing/Obfuscating JavaScript API requests

[英]Securing an API for use with Javascript widget

[英]Securing API requests from Javascript

[英]Web services API Keys and Ajax - Securing the Key

[英]Securing website API keys in Chrome extensions

[英]Securing REST OAuth's API client in javascript

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 在Javascript Web App中保护私有API密钥保护客户端上的API密钥（JavaScript，Android，iOS等）保护Javascript API密钥保护JavaScript API 保护/模糊化JavaScript API请求保护API以与Javascript小部件一起使用保护来自 Javascript 的 API 请求 Web服务API密钥和Ajax - 保护密钥在 Chrome 扩展程序中保护网站 API 密钥用javascript保护REST OAuth的API客户端

相关标签