我目前正在开发一个PHP web应用程序与API访问用户的数据从跨平台和web开发人员将能够获取和插入用户的数据从API使用API密钥和秘密。它还将使用HTTP引用来确保调用是从已注册的应用url进行的。但问题是在javascript的API密钥和秘密将显示在"页面源"。我在谷歌上搜索了一下,然后我听说了"OAuth"。现在我对OAuth一无所知。我搜了一遍,但没有发现有用的东西。所以请任何人告诉我如何创建一个安全的PHP &Javascript API和OAuth是什么,我如何使用它来保护我的API。
谢谢
1) HTTP引用很容易被伪造,因此使用它进行真实性检查存在很大的安全漏洞。2) API密钥和秘密永远不能公开。如果你这样做,那么任何人都可以使用它们来伪造你的身份,例如,窃取你的用户数据。
你能做的是做一个简单的PHP脚本,它将为你想要使用的web服务提供一个安全的通信网关。然后,可以使用AJAX在页面前端和PHP脚本之间建立通信通道,PHP脚本将向web服务发出请求并返回结果。使用这种方式,您的API密钥和秘密将存储在PHP脚本中,其中的内容是不可公开的。
OAuth的实现可能非常令人沮丧,但如果您的web服务需要它的实现,那么您别无选择。