我们提供Web服务,用户可以在其中执行POST请求并获取HTML。这是服务器到服务器完成的。与请求数据一起发送的帖子包括他的密钥和其他参数。
我们希望允许通过AJAX加载它。因此,在页面加载后,请求将在客户端完成。这样,除了稍微修改输出脚本之外,不需要服务器端实现来安装我们的服务。
我们不确定如何保护此操作,因为我们无法将密钥输出为JavaScript参数(以这种方式公开)。我们通常使用用户ID + apiKey组合来验证请求,当它不是服务器服务器时。
我们知道用户的密钥及其有效域名,因此如果有办法确保发送请求的域名不能伪造,也可以解决我们的问题。
我们如何做到这一点,以便我们可以区分那样的请求,而不暴露我们的密钥,以便我们可以只提供经过身份验证的请求信息?