我有一个私有的API。我们的每个客户网站目前都通过SSL执行服务器端身份验证,以便与我们一起开始订购。每个客户端都有一个唯一的客户端ID,因此我可以识别哪个客户端正在发出请求,并拒绝我们系统中不存在的任何客户端ID。有没有办法通过javascript从客户端网站的前端安全地执行此操作?我无法将客户端ID放在客户端代码中,因为任何开发人员都可以查看源代码并弄清楚如何欺骗来自其他站点的请求。我认为检查引用标题也不可靠?真的想知道这种情况的最佳实践。
答案 0 :(得分:0)
不确定我是否正确理解了您的问题,但通常您会将客户端ID编码为在对用户进行身份验证时发出的安全令牌中的声明。由于安全令牌由颁发者签名,您可以在每次请求时收到令牌时验证是否未修改令牌。
显然,您需要使用https协议来防止令牌被盗。有关详细信息,请参阅here。