我有一个网络API,我想允许任何域提交数据。但是,为了防止虚假垃圾邮件发生故障,我想找到一些方法来确保来自某个域的某个域的请求实际上是来自该域并且有人并没有试图通过在另一个域上发帖来欺骗我代表域名。
例如,如果http://example.com提交了一些数据 - 这很好。如果脚本小子#237提交声称是example.com的数据 - 这很糟糕。
起初我打算使用密钥系统对HMAC签署每个请求 - 但是这个API的注册将是开放的,免费的和自动化的。我不知道如何判断PersonA或PersonB是否真正拥有http://example.com并且应该获得API密钥。
答案 0 :(得分:2)
提供密钥文件,他们必须在该域上传。然后根据内部数据库检查存在和有效数据。