[英]How can I send secure API requests from SvelteKit app, without showing API keys on the client side?
[英]Javascript Calling a Rest API with App Name and App Password - How Can i Secure it
我相信這個問題已經問了很多次了。
但想再次確認我的疑問並獲得一些提示。
我打算將buddy.com后端作為服務玩耍。 而且我發現,如果您使用的是JavaScript,則大多數REST API都需要嵌入應用名稱和密碼。 他們還沒有任何JavaScript文檔。 但是我想知道我是否現在必須使用正常的html或HTML5 Web應用程序從Javascript開始使用它。 我如何使用它。
我不想以明文形式傳遞App Password,因為任何人都可以瀏覽器的視圖源,也可以運行Fiddler來查看正在調用的內容。 我知道曾經說過,嘿,為什么您不使用在特定時間內有效的令牌系統。
但是我是這里的消費者,我將如何保護密碼在瀏覽器的視圖源中顯示,因為我將通過網頁/應用程序上的Java腳本來調用API。
buddy.com API的典型示例
http://webservice.buddyplatform.com/Service/v1/BuddyService.ashx?Pictures_ProfilePhoto_Add&BuddyApplicationName=&BuddyApplicationPassword =&UserToken =&bytesFullPhotoData =&ApplicationTag =&RESERVED =
任何提示將非常感謝。 謝謝
客戶端運行的JavaScript始終可以使用GreaseMonkey進行修改。 可以使用JavaScript調試器(如Firebug)讀取所有變量 。 可以使用tamperdata攔截和修改所有請求 。
結果是您永遠無法信任JavaScript,因為它的客戶端代碼。 為了保護攻擊者的機密,您需要將其與JavaScript隔離。 您可以使用一個中間API來執行此操作,該API知道機密並代表客戶端執行請求。 該API需要強制執行身份驗證,或者有權訪問給定資源的人員。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.