我目前正在开发一个小型JavaScript库,它向REST Web服务发出请求。由于服务器端需要记录传入的请求以测量请求的数量,我想以某种方式保护它。该库与Google Maps API非常相似。所以现在我的问题是,是否有一些方法可以更好地保护它,然后只需向库请求添加API密钥?如果可能,我怎样才能确保只有'权利'客户端使用密钥?我想我可以将引荐网址与一组有效的网址进行比较,但这可能会被欺骗到正确的位置?请记住,不可能使用其他人的身份验证方法(facebook,google,twitter等),因为它必须在没有用户输入的情况下工作。
干杯, 丹尼尔
答案 0 :(得分:1)
一个不错的RESTful方法是要求客户端提供Authorization标头,匹配服务器将接受的一些方案(请参阅Basic Access authentication作为示例)。看到您只想验证您的客户是提出请求的客户,您可能不需要太复杂的授权机制。