簡體 English 中英

用Javascript保護API密鑰

[英]Securing API Keys in Javascript

原文 2012-06-27 22:53:40 0 1 javascript/ security/ cakephp/ api-key

我正在為網站構建付款插件，用戶可以在其中用真錢購買一些網站的實習貨幣。 我使用的處理付款過程的后端是這個。 它（與其他人一起）提供一個JavaScript庫來與其API通信，因此您不必讓系統接觸敏感的付款數據（例如信用卡號等）。

問題是：目前，api密鑰，秘密哈希和其他易受攻擊的數據僅被硬編碼到我的腳本中，該腳本啟動與服務器的通信。 因此，從理論上講，每個半血統的用戶都可以將其復制到瀏覽器中，並且可以對其進行討厭的處理，特別是如果他們可以訪問api文檔。

因此，這是不安全的，並且絕對不能通過這種方式進行。

我正在使用cakephp，我想在按下提交按鈕后，通過對我的控制器/模型進行一些ajax調用來收集那些敏感鍵。 問題在於，這種連接不受保護，很容易被“中間人”使用。

還有其他更好的方法來保護JavaScript中的API密鑰嗎？

永遠不要使用基於令牌的auth，https和csrf令牌，而是在客戶端上使用秘密。

使用oauth，這樣用戶甚至不需要向您發送密碼。 使用其他人的身份驗證系統。

在Javascript Web App中保護私有API密鑰

[英]Securing Private API keys in Javascript Web App

[英]Securing API Keys on clients (JavaScript, Android, iOS, etc.)

[英]Securing Javascript API key

[英]Securing JavaScript API

[英]Securing/Obfuscating JavaScript API requests

[英]Securing an API for use with Javascript widget

[英]Securing API requests from Javascript

[英]Web services API Keys and Ajax - Securing the Key

[英]Securing website API keys in Chrome extensions

[英]Securing REST OAuth's API client in javascript

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 在Javascript Web App中保護私有API密鑰保護客戶端上的API密鑰（JavaScript，Android，iOS等）保護Javascript API密鑰保護JavaScript API 保護/模糊化JavaScript API請求保護API以與Javascript小部件一起使用保護來自 Javascript 的 API 請求 Web服務API密鑰和Ajax - 保護密鑰在 Chrome 擴展程序中保護網站 API 密鑰用javascript保護REST OAuth的API客戶端

相關標簽