我有自己的内置API,内置了带有数据库的CRUD函数的zend框架。
但现在我担心保护我的小API有点因为我需要有投票功能,允许用户每个项目投票一次。投票的唯一要求是用户的脸书ID,所以我担心如果有人将帖子请求循环到我的投票api,并且有很多脸谱ID。
所以现在我正在考虑将加密令牌从我的app客户端传递给投票api并在api做之前检查它。
所以我想知道生成动态令牌并将其安全地传递给API的最佳方法是什么?或者有没有简单的方法来识别从我的应用客户端以外的任何来源发出的API请求?
目前我使用jquery ajax将所有json数据传递给我的api。谢谢!
答案 0 :(得分:0)
我能想到的最简单的方法是,在API调用中添加某种哈希,以验证数据是否来自您的应用。 例如。你可以创建一个Facebook ID哈希加盐。您只需要确保接收端确实知道用于该呼叫的盐。 例如
hash = sha256(Facebook_id+app_id)
会是一种方式。