我正在使用PHP和json制作API,我想限制它的访问权限。 在我看来,最方便用户的方法是为每个用户提供APIKey。 我想做的是检查谁在使用/请求json,然后我可以检查网站的密钥(我知道如何做最后一部分)。 (密钥将附加到网站网址?key = KEY)
我试过了
$_SERVER['HTTP_REFERER'];
但显然如果您被重定向到我的网站,这只会显示最后一个网站。
我希望这不是太主观,我真的不知道如何用其他任何方式解释这一点。希望有人能理解我正在尝试做什么,也许有更好的解决方案? 对于制作API至少有限的人来说,我有点新鲜。 谢谢!
答案 0 :(得分:0)
引荐来源由网络浏览器设置,为您提供用户在访问您的网站之前浏览的最后一页。如果您使用API密钥对站点进行身份验证,并且此站点将API密钥嵌入其JS代码中以便访问者可以直接访问您的API,则使用API密钥和referrer进行速率限制将允许攻击者将您的API用于DOS特定站点已被限速(因为攻击者知道API密钥,并且引用者很容易被欺骗)。