PHP 驱动的 API 如何跨域验证真正的客户端(引用)(知道标头可能是欺骗的)
How can PHP driven API authenticate genuine client (referer) cross-domain (knowing that headers can be spoofed)?
使用 PHP,您如何使用以下条件安全地验证跨域的 API 调用:
- 必须从给定 domain.com/page 调用(无其他域)
- 必须具有给定的密钥
一些背景:请在回答之前仔细阅读...
我的 Web 应用程序将通过如下所示的调用在客户网站上显示一个 javascript 小部件。因此,我们谈论的是跨域身份验证,用于要提供的脚本,但仅适用于真正的客户端和给定的URL!
目前,小部件可以通过单行javascript包含在客户端的网站中。
示例 client-website.com/page/with/my-widget
<head>
...
<script src="//ws.my-webappserver.com/little-widget/?key=api_key"></script>
...
</head>
现在,实际上,这不是直接调用javascript,而是在我的远程服务器上调用PHP脚本,该脚本位于实际的javascript前面,用于执行一些身份验证。
上述调用背后的 PHP 脚本首先执行此操作:
- 检查 API 密钥 ($_REQUEST["key"]) 是否与数据库中的用户记录匹配。
- 根据数据库中的 A 记录检查引荐来源网址的 ($_SERVER['HTTP_REFERER'])***。
这是简化的,但本质上服务器看起来像:
if ($_SERVER['HTTP_REFERER'] !== "http://client-website.com/page/with/my-widget")
&& $_REQUEST["Key"] == "the_long_api_key") {
header("Content-type: application/x-javascript");
echo file_get_contents($thewidgetJS_in_secret_location_on_server);
} else {
//pretend to be a 404 page not found or some funky thing like that
}
小部件只允许在某些网站/页面上运行
现在,问题来了:
- 密钥
- 位于客户端,因此任何人都可以查看源代码并获取密钥
- 例如,引荐来源网址可以被欺骗(通过cURL)
还有一个小障碍:我不能告诉客户端将密钥粘贴在服务器上的 php 脚本中,因为它们可能正在运行任何服务器端语言!
那么,如何使我的 Web 服务安全且只能由给定域/页面访问呢?
任何帮助将不胜感激!
ps:该小部件会上传到一种投递箱 - 所以安全性是这里的关键!
id 建议使用白名单方法来解决此问题,我不完全确定这会解决问题,但是我对支付处理器使用了类似的技术,这需要您将服务器 IP 列入白名单。
相关文章:
- 引用对象中的通用值
- 如何在JavaScript中将字符串转换为函数引用
- 当包含另一个asp文件时,是否也包含所有引用的样式和脚本页面
- 在动态创建的元素上获取对特定选择器的引用
- IIFE中的函数引用不可用
- 如何通过引用var Using DataTables来进行分页或排序
- 如何在创建键时引用来自同一对象的键
- Datatables:通过DOM数据源中的名称引用列
- 自引用回调
- 引用类变量中的原型方法
- 无法获取属性'selectedIndex'的未定义引用或null引用
- Vanilla JS通过引用移除数组元素
- 通过引用传递JavaScript对象
- 无法获取属性'Id'使用Knockout.js的未定义或空引用API
- "“;变量未引用正确的对象
- 获取对使用Tampermonkey使用javascript创建的元素的引用
- 引用vue.js中v-for中的上一个值
- 在gump和nodejs中使用Typescript时,未定义对require和exports的引用
- PHP 驱动的 API 如何跨域验证真正的客户端(引用)(知道标头可能是欺骗的)
- 当需要iFrame打开应用程序时,欺骗引用器