如何禁用 Blogger API 的删除和更新帖子选项

Posted 2023-05-08

【中文标题】如何禁用 Blogger API 的删除和更新帖子选项

【英文标题】：How to disable delete and update post options to the Blogger API

【发布时间】：2020-06-07 01:09:47

【问题描述】：

我正在使用 Blogger javascript API 来检索我的博客帖子，任何人都可以轻松地在视图源中看到 API 密钥，并且可以使用它来删除和更新帖子。我想以某种方式阻止其他人这样做，有什么办法吗？

【问题讨论】：

这取决于键显示的内容...您的请求是否类似于此问题：***.com/a/16147476/4929742？

@Bilel 它通过以下链接发出 Ajax 请求：googleapis.com/blogger/v3/blogs/BLOG_ID/posts?&key=API_KEY

你从哪里做这个？自定义仪表板/后端？如果您需要像删除/更新这样的敏感操作，为什么要使用 javascript？谁“其他人”在使用您的仪表板...请澄清这一点

@Bilel 我在我的博客主页上执行此操作，并且几乎在每个页面的侧边栏上执行此操作。我无权访问后端的东西，它是一个 Blogger 的网站，它不允许我做后端。我不需要这两个操作，我只检索博客文章。 Javascript，因为我猜它是在 Blogger 网站上这样做的唯一方法。只有我可以访问 Blogger 仪表板。

【参考方案1】：

即使有人获得了您的 api 密钥，他也无法对您的博客进行任何更改，因为 updating 或 deleting 发布请求需要使用 OAuth 2.0 的 authorizing

如果请求需要授权（例如对个人私人数据的请求），则应用程序必须在请求中提供 OAuth 2.0 令牌。应用程序也可以提供 API 密钥，但不是必须的。