我使用Foursquare API创建了一个网站,并希望在我的个人主页上发布它,但我对我的Foursquare SECRET有安全担忧。 我使用以下格式的URL在JS文件中使用了ajax请求,我担心客户端能够读取我的Foursquare ID和密码:
https://api.foursquare.com/v2/venues/search?client_id=CLIENT_ID&client_secret=CLIENT_SECRET&v=20180325&ll=lat,lng&query=cafe
我确实在搜索限制可访问网址的方法,比如Yelp,但Foursquare似乎并没有提供这种方法。在客户端或/和服务器端保护我的Foursquare Secret的最佳方法是什么? (我对后端没有太多的了解,但是如果提供了详细的信息,那么非常感谢,谢谢大家)
答案 0 :(得分:0)
最简单的方法是使用用户令牌而不是Client_ID / Client_Secret。
https://api.foursquare.com/v2/venues/search?oauth_token=someUsersToken&ll=lat,lng&query=cafe
您的应用已与该令牌相关联。
另一个建议是使用服务器作为代理。将您的应用程序中的所有请求发送到您的服务器,然后让您的服务器向foursquare发出请求,注入客户端ID和密码,然后将foursquare响应发送回您的应用程序。
我看到使用暴露的用户令牌时遇到的问题是,他们可能会使用该令牌通过向foursquare请求来模拟您的应用。
您可以在此处查看有关foursquare身份验证的更多信息。 https://developer.foursquare.com/docs/api/configuration/authentication