个人调用第三方节接口,暴露key了
在使用第三方接口时通常会在该网站注册用户,同时给你返回一个key供调用接口时使用。
通常请求第三方接口时使用的是ajax,请求该第三方接口要求携带注册的key,那么问题来了,其他用户通过开发者工具查看我前端源码时看到了ajax请求接口时携带的key,对方不就能使用我这个key无限制的向第三方接口发请求了吗?特别是收费的api时,损失更大。
所以个人使用第三方接口时如何防止被恶意用户使用key?
如果你自己作为第三方接口平台时如何防止注册用户的key被恶意用户使用?
以聚合api为例说明
接口地址:http://apis.juhe.cn/springTravel/citys?key=| 名称 | 必填 | 类型 | 说明 |
|---|---|---|---|
| key | 是 | string | 在个人中心->我的数据,接口名称上方查看 |
如果使用ajax进行接口请求时不就暴露了这个key吗?被恶意用户使用该怎么办?
另外如果你自己在开发第三方api平台时,如何防止用户的key被别的恶意用户滥用呢?
这种明文的key一般情况下会有加密解密的配套吧, 就算第三方没有,你们也完全可以自己接入一些加密解密的方案,只要别人不知道你们的加密方式 ,他们就无法成功使用的。
还有更多大神的解答吗?求帮忙解释下!
这个请求应该在你服务器上发的,你key存在服务器上
不至于不至于,一般来说,还会要求你调用api的时候,加上即时生成的签名字符串和随机数,通常会给你一个秘钥,你通过key和秘钥来即时生成签名,服务商根据你提供的这些数据,根据算法,验算签名是否正确,正确,就确认调用请求合法。
回答
本文地址:H5W3 » 使用第三方接口如何保证key不被其他人恶意使用?
