Comment garder les clés API secret lors de l'utilisation de code Javascript coté client?

Par exemple, découvrez ce Facebook plugin.

Dans le côté client, la clé API est clairement visible. Quel est l'arrêt d'un autre utilisateur à partir de l'obtention de cette clé et de l'utilisation de cette fonctionnalité sur un autre site?

J'ai pensé un très naïve de la mise en œuvre serait de vérifier le domaine d'où provient la demande mais ce genre de choses sont faciles à faux.

Si je devais créer quelque chose de similaire, comment pourrais-je aller sur la sécurisation du processus d'authentification?

Je veux que le bien de ce côté client, même si une certaine forme d'authentification du serveur sera sûrement nécessaire? Tout des liens ou des conseils seraient grandement appréciés.

Mise à jour

Similaire question sur les clés API que j'ai trouvé utile.

  • Avez-vous regardé twitter @n'importe où? La clé API est ouverte, mais ils utilisent d'autres informations /le secret de tester les données
InformationsquelleAutor Finglas | 2011-10-21
  1. 12

    En trois mots: la validation côté serveur. FB lui-même renvoie une erreur lorsque vous utilisez une clé incorrecte pour un site donné. La clé de l'API n'est pas censé être secret (par opposition à la clé secrète).

    • Je suppose que dans ce cas, la clé de l'api qui va changer pour chaque requête unique à droite?
    • Pas de. Pourquoi devrait-il? La clé API identifie votre application, et qui est lié à un seul domaine; si vous l'utilisez sur un autre domaine, l'API clé ne correspond pas lorsqu'elle est cochée sur FB via AJAX et l'INTERFACE utilisateur ne se charge pas.
    • C'est ce que je suis à la. Comment peut-on faire confiance le domaine, si je me suis inscrit à Un site, ce qui est m'arrêter de faire le site B à l'aide de la même clé, mais bodging les en-têtes avant d'envoyer une demande?
    • Exactement comment avez-vous bodge les en-têtes? Ils ne sont pas envoyés par votre serveur, mais par le navigateur de l'utilisateur.
    • Des choses telles que Firebug/falsifier des données comme des outils, etc... Malgré cela une clé API sonne comme il va faire le travail. Une question intéressante d'un même thème peut être trouvé ici stackoverflow.com/questions/2256305/...
    • Oui, je suis consciente que HTTP est simple à modifier dans le transfert, mais qui ne fera que vous aider à prétendre qu'un POST est arrivé dans le domaine légitime, de ne rien accomplir pour le nouveau domaine; en outre, que va seulement aider vous - je postulons que l'autre domaine que les utilisateurs ne sont pas intéressés à jouer avec leurs le trafic HTTP.
    • Juste assez. Merci pour les conseils. Vous avez m'a orienté dans la bonne direction pour ce dont j'ai besoin.
    • Est-il un mécanisme de validation que vous recommanderiez?
    • Ce n'existait pas lorsque la question a été écrit, et peut-être destiné à un autre cas d'utilisation, mais voir jwt.io

    InformationsquelleAutor Piskvor
  2. 3

    Je n'ai pas fait moi-même, mais je sais que le type d'attaque que vous êtes inquiet est appelée Cross-site Request Forgery (CSRF). Le Article de Wikipedia sur qui donne quelques conseils sur la façon de le prévenir.

    • Qui devrait être le titre de cette question. "How to prevent Cross-site Request Forgery?"
    • Si "la Prévention de la CSRF" a été le titre, les gens comme moi qui ne connaissent pas le nom ne trouverez pas la question
    • Eh bien, vous avez raison! Je ne me souviens pas pourquoi j'ai écrit ce commentaire stupide. Juste l'ignorer. lol
    InformationsquelleAutor GregL