我正在开发一些较小的项目,可能会在以后更多,这将使用HTTP基本身份验证来获取和发布数据。一些示例API是MongoHQ和Wufoo。
这些项目基于AJAX,面向不同的人。出于原型目的,我在我的服务器上有一个PHP脚本,它只是说明以下内容将JSON响应转换为JSONP:
<?php
echo $_GET['callback'].'('+file_get_contents($_GET['url'])+')';
?>
问题在于我的JSONP调用包含user:pass含义,任何人都可以只查看源代码,复制用户并传递,然后发出POST请求。
有没有办法让这个安全无需直接通过PHP进行所有 API调用,并允许我使用多个项目中的相同脚本?在完美的世界中,我可以编写一个单独的脚本,让我可以执行HTTP基本身份验证的东西,无论是什么API都不会再触摸该文件,并且用户和传递以某种方式隐藏(如上面的示例)。
答案 0 :(得分:0)
您可以使用SSL(https)连接。