我正在创建一个客户端应用程序(即Web浏览器中的HTML / CSS / JS),该应用程序从SurveyMonkey帐户检索调查信息并生成适当的表单以提交它。应用程序本身工作正常,但它依赖于知道调用get_survey_list和get_survey_details的API密钥。问题是任何人都可以轻松提取密钥(例如,通过使用浏览器的调试工具检查网络请求)并执行更多特权操作,例如get_responses,这是私有信息,因此不应公开访问这样。
有没有办法创建一个有限的访问API令牌"某种?例如,我想创建一个仅被授权执行某些类型的API调用的程序。
答案 0 :(得分:2)
这是不可能的,您可以生成的唯一授权令牌是完整访问权限,如文档here所示。
在这种情况下,您最好的选择是拥有一个可以调用的代理Web应用程序,然后代表客户端进行API调用。