API安全:如何限制域名访问?

时间:2011-05-29 23:20:39

标签: php security api

我公开了一个简单的API,需要确保只有授权用户才能访问它。我将提供一个API密钥进行身份验证。但是,我还想将API密钥与某个域相关联(意味着,只有在从授权域使用它时才能使用它。)

如果从授权域访问API,如何检查API端? HTTP_REFERER显然不可靠。建议?

3 个答案:

答案 0 :(得分:7)

您暴露了哪种API?有许多不同类型的API - 我假设您不公开操作系统的API ...

假设您要公开一些 Web应用程序的API ,您可以查看基于回调网址的 OAuth - 您可以阻止通过回调URL调用某些域。

详细了解OAuth

答案 1 :(得分:0)

HTTP + SSL是一个复杂的协议集,它支持服务器和客户端的证书,并且可能在这种情况下可以使用,但不知怎的,我觉得这将是一种过度杀伤。

答案 2 :(得分:-2)

您想要源IP地址

REMOTE_ADDR -要么- HTTP_X_FORWARDED_FOR