问候语!
我刚刚完成了部署在heroku上的第一个REST API,我决定通过rapidAPI每月赚0美元会很酷。
rapidAPI测试仪表板成功通过测试,其中一个键是API调用的要求。
然而,当我在浏览器或Postman上访问该网站时,不需要API密钥,因此在get请求中没有限制。
我注意到测试代码对项目的rapidAPI url发出了获取请求,但我如何才能使heroku url只能从rapidAPI访问?
我知道不太可能有人找到我的heroku应用程序url,但从技术上讲这是可能的。
我感谢你的时间和见解。
RapidAPI提供了两个安全功能来支持这一点:
- 在API仪表板中设置
X-RapidAPI-Proxy-Secret:此令牌将添加到每个请求的X-RapidAPI-Proxy-SecretHTTP标头中。您应该为每个API调用验证这一点。这是默认的措施 - 提供RapidAPI使用的IP地址列表:您可以检查/验证每个API调用
可能有Heroku插件来帮助IP过滤,但这些插件通常是企业插件(有相关成本(。
RapidAPI允许您向API请求添加机密头和/或查询字符串参数。RapidAPI代理将这些秘密添加到每个请求中,但对API消费者是隐藏的。
在此页面中查找更多详细信息:https://docs.rapidapi.com/docs/secret-headers-parameters