[英]How to secure a site and internal API?
如果標題對內容無關緊要,請原諒。
我們正在討論一個互動重型網站的模型
site.com
api.site.com
在同一台服務器上。 site.com由PHP提供支持,api.site.com將由另一個Web框架提供支持。 相同或不同的服務器應答這兩個域。
渲染的網站對api.site.com進行AJAX調用。
如果應用程序是“所有PHP”,那么保護這一點很容易。 會話功能可以阻止允許以下內容的HTTP請求:
問題1:如何保護內部API,以便我們確定每個請求的合法性 ?
我已經搜索了AJAX和相同的原始政策,但我沒有與他們相處得很遠。
我在想隨機生成的'令牌',這兩個域都會得到承認。
問題2: 此型號是否有特定名稱?
你應該看看JSONP。 jQuery有一個很好的例子: http : //api.jquery.com/jQuery.getJSON/
你需要添加jsoncallback =? 到URL使其工作。
$.getJSON("http://api.flickr.com/services/feeds/photos_public.gne?jsoncallback=?"
有了這個,您可以避免同源策略
所述jsoncallback將是一個時間戳,應echo-ed
由PHP腳本輸出該JSON這樣的:
jsonp1277656587731(/* rest of the JSON here */);
這里的數字是隨機生成的字符串,或者是jQuery JSONP的時間戳
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.