PHP驱动的API如何认证真正的客户端（referer）跨域（知道标头可以被欺骗）？

Posted 2023-02-27

【中文标题】PHP驱动的API如何认证真正的客户端（referer）跨域（知道标头可以被欺骗）？

【英文标题】：How can PHP driven API authenticate genuine client (referer) cross-domain (knowing that headers can be spoofed)?

【发布时间】：2013-11-14 11:14:23

【问题描述】：

使用 php，您如何安全地验证 API 调用，跨域，符合以下条件：

必须从给定的 domain.com/page 调用（没有其他域） 必须有一个给定的键

一些背景知识：回答前请仔细阅读...

我的 Web 应用程序将通过如下调用在客户的网站上显示一个 javascript 小部件。因此，我们谈论的是跨域身份验证，以提供脚本，但仅限于真正的客户端和给定的 URL！

目前，客户的网站可以通过单行 javascript 包含小部件。

client-website.com/page/with/my-widget 示例

<head>
...
<script src="//ws.my-webappserver.com/little-widget/?key=api_key"></script>
...
</head>

现在，实际上这并不直接调用 javascript，而是我的远程服务器上的一个 PHP 脚本，它位于实际 javascript 的前面，用于进行一些身份验证。

上述调用背后的 PHP 脚本首先执行此操作：

检查 API 密钥 ($_REQUEST["key"]) 是否与数据库中的用户记录匹配。 对照数据库中的一条记录检查引荐来源网址 ($_SERVER['HTTP_REFERER'])。

这是简化的，但本质上服务器看起来像：

if ($_SERVER['HTTP_REFERER'] !== "http://client-website.com/page/with/my-widget")
  && $_REQUEST["Key"] == "the_long_api_key") 
    header("Content-type: application/x-javascript");
    echo file_get_contents($thewidgetJS_in_secret_location_on_server);
 else 
  //pretend to be a 404 page not found or some funky thing like that

***小部件只允许在某些网站/页面上运行

现在，问题来了：

密钥在客户端，因此任何人都可以查看源代码并获取密钥 例如可以欺骗引荐来源网址（通过 cURL）

还有一点问题： 我不能告诉客户将密钥粘贴在他们服务器上的 php 脚本中，因为他们可以运行任何服务器端语言！

那么我怎样才能使我的网络服务安全且只能由给定的域/页面访问？

任何帮助将不胜感激！

ps：小部件会将一些内容上传到一种投递箱 - 所以这里的安全性是关键！

【问题讨论】：

我以前听过很多次。它归结为您需要自己验证每个用户，或者信任其他站点的身份验证并大力监控不良活动（这就是您正在做的事情）。你可以在 js 中做更多的事情来破坏业余 curl 脚本，但除非你想保护每个请求，否则你无能为力。

【参考方案1】：

id 建议对这个问题使用白名单方法，我不完全确定这会解决问题，但是我对支付处理器使用了类似的技术，它要求您将服务器 IP 列入白名单。