PHP-保護RESTful API請求

Question

我使用JSON API來獲取網站數據。 我知道可以使它安全的各種方法，但是我的情況與普通方法不同。

由於存在跨域問題，我必須創建一個API文件夾，其中包含各種PHP文件，這些URL對REStful API發出cURL請求。 然后，我通過我的網站上的AJAX請求這些本地PHP文件。 在下一發行版中，應為JSONP以避免此問題。

這些JSON請求中有許多都包含敏感信息，所以我要做的第一件事就是檢查HTTP Referrer，這樣人們在檢查JavaScript代碼並嘗試在其瀏覽器上運行時，不僅會抓取URL。 這顯然是不安全的，我也不應該依靠它。

我可能嘗試發布到請求中的任何數據都將通過JavaScript進行，因此諸如API密鑰或令牌之類的內容將可見，並且會破壞整個目的。

有什么辦法可以防止這些PHP文件在網站之外運行？ 基本上使訪客無法進入？

Answer 1

這與REST無關。 您有一個服務器端REST客戶端，在其中使用cURL調用REST服務，瀏覽器看不到此過程的任何內容。 除非您不想為此AJAX客戶端構建自己的REST服務，否則這只是一個常規的Web應用程序（從瀏覽器和AJAX客戶端的角度來看）。 正如Lorenz在評論中所說，您應該像平常一樣使用會話。 就這樣。 如果要限制對某些頁面的訪問，可以使用訪問控制解決方案，例如，基於角色的訪問控制非常普遍。