如何创建一个安全的PHP& javascript api

时间:2013-06-01 16:03:19

标签: php javascript api oauth

我目前正在开发一个带有api的php web应用程序,用于从跨平台访问用户的数据,web.developers将能够使用api密钥从api获取和插入用户的数据而secret.it也将使用HTTP referer来确保调用是从注册的应用程序url。但问题是在JavaScript中,API KEY和秘密将显示在'页面源'。我在谷歌上关于它,然后我听说'OAuth'。现在我有没有关于OAuth.i的知识搜索它,但没有发现任何帮助。所以,任何人都可以告诉我如何创建一个安全的PHP& Javascript API和什么是OAuth以及如何使用它来保护我的api。

谢谢

1 个答案:

答案 0 :(得分:1)

1)HTTP引用可以很容易伪造,因此它用于真实性检查会带来很大的安全漏洞。 2)API密钥和秘密绝不能公开。如果您这样做,那么任何人都可以使用它们伪造您的身份,例如,窃取您的用户数据。

您可以做的是创建一个简单的PHP脚本,该脚本将为您要使用的Web服务提供安全的通信网关。然后,您可以使用AJAX在页面的前端和PHP脚本之间建立通信通道,这将向Web服务发出请求并返回结果。使用这种方式,您的API密钥和秘密将存储在PHP脚本中,该内容不公开。

OAuth的实施可能非常令人沮丧,但如果您的网络服务需要实施,那么您别无选择。