我一直在为我的网站编写自己的api,api只允许消费者阅读基本信息。
有人向我建议我给消费者一个公钥和私钥API。私有API密钥将用于服务器端脚本,例如php,因此公众无法查看它并以错误的方式使用它,然后公钥将用于诸如javascript之类的语言。对于公共api密钥,他们告诉我,我必须检查请求的原始来源,并将其与我的数据库中的URL匹配。
但我检查请求来自的URL的方式是检查引用,但我知道引用者可以更改,所以这不是一个好主意。
我正在寻找一种方法来正确检查引用网址,这是非常可靠的。或者有人可以向我建议使用这种API的不同方法吗?