网站从远程RESTful API请求URL,然后返回带有敏感数据的JSON对象。
如何保护来自"客户端的电话"?如果我发送任何标题或发布数据进行身份验证(密钥,凭据等),它仍然会被用户看到并且无法实现目的。
基本上,我怎样才能确保有人无法调用我在浏览器中通过AJAX调用的相同网址并保护敏感数据?如果我使用帖子参数,它们将在javascript代码中显示。
$.post({
url: ...,
username: ...,
password: ...,
key: ...,
...
});
答案 0 :(得分:0)
好吧,我认为您可以使用令牌进行身份验证,并在发出n次请求后将其过期。但是,除非您处理(加密)数据,否则用户只能看到您要从浏览器发送到服务器的任何数据。
或者您可以使用SSL,OAuth或其他任何协议确保您的连接安全。
答案 1 :(得分:0)
您当前的活动链:
提交的用户表单 - > JS添加敏感参数 - >所有信息发送到第三方 - > JS解析响应等......
你应该努力的目标:
提交的用户表单 - >所有信息都发送到您的服务器 - >服务器添加敏感参数 - >服务器CURL到第三方 - >服务器接收响应 - >服务器与用户进行通信
故事的道德?