我正在创建一个API服务器,它提供卡号验证和事务插入。
示例API网址= http://mydomain.com/api.json?cardnumber=2342343244&api_key=jhj67asd234tgbh123
现有系统: 我正在为客户端系统提供api密钥(比如ebay.com)。如果用户有有效卡,我会提供折扣。因此,我的客户将向其最终用户提供表单字段以输入有效的卡号。
问题: 我的客户端正在向我的域编写ajax请求以处理验证。问题是api密钥在控制台中可见,任何人都可以在客户端系统之外执行请求(安全性丢失)。
建议系统:请建议隐藏我的api密钥的系统,以便安全地处理请求。解决方案可以是编写API的任何其他方式。
我对API的了解较少。任何帮助将不胜感激。
答案 0 :(得分:0)
根据我的经验,没有一种简单的方法可以做到这一点。
我所知道的唯一方法是为客户提供一次性密钥。一旦使用它,它就会过期,客户端将需要一个新的。
以这种方式,密钥在控制台中是可见的并不重要,因为它只对单个请求有效。
我希望有所帮助,但我很想知道其他人的任何建议。