标签: php security api
我公开了一个简单的API,需要确保只有授权用户才能访问它。我将提供一个API密钥进行身份验证。但是,我还想将API密钥与某个域相关联(意味着,只有在从授权域使用它时才能使用它。)
如果从授权域访问API,如何检查API端? HTTP_REFERER显然不可靠。建议?
答案 0 :(得分:7)
您暴露了哪种API?有许多不同类型的API - 我假设您不公开操作系统的API ...
假设您要公开一些 Web应用程序的API ,您可以查看基于回调网址的 OAuth - 您可以阻止通过回调URL调用某些域。
详细了解OAuth。
答案 1 :(得分:0)
HTTP + SSL是一个复杂的协议集,它支持服务器和客户端的证书,并且可能在这种情况下可以使用,但不知怎的,我觉得这将是一种过度杀伤。
答案 2 :(得分:-2)
您想要源IP地址
REMOTE_ADDR -要么- HTTP_X_FORWARDED_FOR