H5W3
当前位置:H5W3 > 问答 > 正文

使用第三方接口如何保证key不被其他人恶意使用?

个人调用第三方节接口,暴露key了

在使用第三方接口时通常会在该网站注册用户,同时给你返回一个key供调用接口时使用。
通常请求第三方接口时使用的是ajax,请求该第三方接口要求携带注册的key,那么问题来了,其他用户通过开发者工具查看我前端源码时看到了ajax请求接口时携带的key,对方不就能使用我这个key无限制的向第三方接口发请求了吗?特别是收费的api时,损失更大。

所以个人使用第三方接口时如何防止被恶意用户使用key?
如果你自己作为第三方接口平台时如何防止注册用户的key被恶意用户使用?

以聚合api为例说明

接口地址:http://apis.juhe.cn/springTravel/citys?key=
名称 必填 类型 说明
key string 在个人中心->我的数据,接口名称上方查看

如果使用ajax进行接口请求时不就暴露了这个key吗?被恶意用户使用该怎么办?
另外如果你自己在开发第三方api平台时,如何防止用户的key被别的恶意用户滥用呢?

这种明文的key一般情况下会有加密解密的配套吧, 就算第三方没有,你们也完全可以自己接入一些加密解密的方案,只要别人不知道你们的加密方式 ,他们就无法成功使用的。

还有更多大神的解答吗?求帮忙解释下!

这个请求应该在你服务器上发的,你key存在服务器上

不至于不至于,一般来说,还会要求你调用api的时候,加上即时生成的签名字符串和随机数,通常会给你一个秘钥,你通过key和秘钥来即时生成签名,服务商根据你提供的这些数据,根据算法,验算签名是否正确,正确,就确认调用请求合法。

回答

本文地址:H5W3 » 使用第三方接口如何保证key不被其他人恶意使用?

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址