我正在构建一个可嵌入的JavaScript库,我的用户可以将其放入他们的网络应用程序并将其提供给访问者。
访问者可以对库进行操作,从而触发一些数据返回到我的服务器。
如何在不向访问者泄露凭据的情况下对库进行身份验证?是否将访问控制列表锁定到域推荐的解决方案,而根本没有交换凭据?
我在这里看了一下这个问题,它似乎被建议作为一个古怪的解决方案:How can I validate/secure/authenticate a JavaScript-based POST request?
答案 0 :(得分:2)
如果您查看其他API引擎,其中大多数都使用API密钥(例如Google)。
我猜,API Key只是服务器系统生成的值,它以不可逆的方式包含凭据。
这与例如文档主机的域(可以由您的库读取,读取请求页面时发送的主机头)一起使用,可用于在服务器中进行身份验证。
换句话说:您的库发送到服务器的编码凭据(API密钥)+域锁定。