REST Api dla innej aplikacji

0

Witam,

czy robiliście już kiedyś REST API dla innej aplikacji (klienta) ?

Załóżmy, że** 1 klient **od nas otrzyma 2 klucze: key_client, key_secret
Jakby **1 klient **chcial użyć od nas danych poprzez ajaxa, to wtedy uzywa key_client -> http://domena.pl/key_client=12312312
(np. 2 klient zagladal do kodu zrodlowego u 1 klienta i widzi jaki ma key_client i sobie moze ukrasc key_client i wykorzystac na swojej stronie)
to co zrobic zeby zabezpieczyc to, np. mając jeszcze key_secret ?

Jakieś rady ? czy chyba lepiej inaczej ? HTTP_REFERER nie do konca jest bezpieczne (sprawdzanie po domenie)

0

nie bardzo wiem na jakiej zasadzie miało by to działać 2 klient zagladal do kodu zrodlowego u 1 klienta i widzi jaki ma key_client i sobie moze ukrasc key_client - chyba normą jest, że jak dajesz komuś klucz, którego ma używać tylko on to już w jego gestii jest nieudostępnianie go na zewnątrz bo np. może zostać zablokowany.

0
abrakadaber napisał(a):

nie bardzo wiem na jakiej zasadzie miało by to działać 2 klient zagladal do kodu zrodlowego u 1 klienta i widzi jaki ma key_client i sobie moze ukrasc key_client - chyba normą jest, że jak dajesz komuś klucz, którego ma używać tylko on to już w jego gestii jest nieudostępnianie go na zewnątrz bo np. może zostać zablokowany.

Przykład google api i inne serwisy też posiadaja 2 klucze key_client i key_secret : D Wiadomo piszac w skrypcie php i uzywajac do tego curla z parametrami to nikt by nie widzial (nie mowiac o przechwyceniu danych) to nie ma problemu, ale problem pojawia sie z ajaxem. Chce po prostu to zablokować tylko nie mam pomyslu jak : D

0

Chce po prostu to zablokować

Dlaczego? I co konkretnie tak właściwie?

1 użytkowników online, w tym zalogowanych: 0, gości: 1