我有一个应该是非常常见的问题,但由于我是这个领域的新手,我无法真正找到谷歌的内容。
我有一台服务器正在侦听HTTP消息。该服务器由具有API密钥的客户端调用。此API密钥随请求一起发送到服务器,服务器根据提供的API密钥处理消息。这当然很糟糕,因为我在请求中发送了API密钥。
我不希望发送API密钥,但我如何在服务器端识别客户端是否可信并确定没有人窃取密钥以发出错误请求?
谢谢!
答案 0 :(得分:-1)
为什么那么糟糕?在尝试识别/验证(/授权)客户端时,在请求的标头中发送API密钥(如文档here)是常见做法。
如果您担心被盗的API密钥情况,可以采取措施使这种安全性加倍(例如像Google一样验证客户端的域/ URL)。