当您在服务器端使用Disqus API时,必须在每个API请求的URL中放置“app_secret”。这是Disqus doc说的:
如果您使用的是服务器端API,则需要使用您的秘密API密钥值发送api_secret。
(https://disqus.com/api/docs/requests/)
当我这样称呼URL时:
https://disqus.com/api/3.0/threads/list.json?access_token={ACCESS_TOKEN}
我收到此错误:
{"code":5,"response":"Invalid API key"}
将URL更改为:
https://disqus.com/api/3.0/threads/list.json?access_token={ACCESS_TOKEN}&api_secret={API_SECRET}
一切正常。
我认为在常见的GET请求中使用密钥非常非常危险。我不知道在GET请求中使用密钥所需的任何其他API。
你怎么看?
答案 0 :(得分:0)
这是服务器端请求,因此从您的服务器到Disqus.com。客户端永远不会看到URL。
当您使用HTTPS时,明文中显示的所有内容都是您向特定IP地址的服务器发出请求。但是,监控DNS请求或使用反向DNS查找的攻击者可以轻松确定该IP地址属于disqus.com上的服务器。
简而言之:它是安全的。攻击者可以看到您与disqus.com通信,但其他所有内容都已加密。
另请参阅this answer和this answer了解更多信息。