保护 API 以与 Javascript 小部件一起使用

Posted 2023-03-08

【中文标题】保护 API 以与 Javascript 小部件一起使用

【英文标题】：Securing an API for use with Javascript widget

【发布时间】：2012-05-23 03:45:06

【问题描述】：

我正在编写一个将由博主/网站所有者安装的 javascript 插件。它将与我的远程 API 进行通信。

我想知道如何保护 API 以确保只有注册了服务帐户的用户拥有的域才能访问 API 中的资源。我已经阅读了 OAuth2 并了解了基础知识，但是因为该插件将在浏览器中运行，而不是从服务器到服务器，所以我不确定这有多安全。

mixpanel、谷歌分析、olark 等大量服务都使用相同的概念（即网站所有者在他们的网站上安装一行 JS），所以它一定是一个已解决的问题。

【问题讨论】：

你到底想防止什么？

试图阻止人们访问他们不应该访问的数据，例如我访问了一个我不拥有或控制的网站的谷歌分析数据。谷歌这样做，但如何？使用 OAuth？

否；谷歌不这样做。 Google Analytics 脚本不授予对任何数据的访问权限。

要回答您明显的问题，您可以使用任何登录系统。

【参考方案1】：

您可以在脚本中插入window.location 检查，以防止其他人直接将其从您的服务器中包含在内。

但是，无法阻止人们在本地下载脚本、取消保护，然后自行托管。

您可以在所有服务器端请求中要求 API 密钥，但敌人很容易从合法网站窃取 API 密钥。

【讨论】：

如果没有与我的 API 通信，该脚本将毫无用处。抱歉，我的问题有点含糊，我只是有点困惑我提到的服务是如何实现这一点的。

你提到的所有服务都不能返回任何信息。

SLaks 击中了它的头部。 GA 和 Mixpanel 小部件只发送数据，没有什么可以阻止任何网站使用给定的 GA 密钥来记录数据，除非他们无法访问有问题的数据（并且很容易为合法用户过滤）。在 Olark 案例中，数据确实会返回（即来自操作员的消息），但它是特定于会话的，而不是特定于经过身份验证的用户，所以同样适用（我是 Olark 的工程师，我们不做任何事情类似于 URL 验证，因为 SLaks 提到的原因，它最终将毫无用处）。