使用 PHP,您如何使用以下条件安全地验证跨域的 API 调用:
- 必须从给定 domain.com/page 调用(无其他域)
- 必须具有给定的密钥
一些背景:请在回答之前仔细阅读...
我的 Web 应用程序将通过如下所示的调用在客户网站上显示一个 javascript 小部件。因此,我们谈论的是跨域身份验证,用于要提供的脚本,但仅适用于真正的客户端和给定的URL!
目前,小部件可以通过单行javascript包含在客户端的网站中。
示例 client-website.com/page/with/my-widget
<head>
...
<script src="//ws.my-webappserver.com/little-widget/?key=api_key"></script>
...
</head>
现在,实际上,这不是直接调用javascript,而是在我的远程服务器上调用PHP脚本,该脚本位于实际的javascript前面,用于执行一些身份验证。
上述调用背后的 PHP 脚本首先执行此操作:
- 检查 API 密钥 ($_REQUEST["key"]) 是否与数据库中的用户记录匹配。
- 根据数据库中的 A 记录检查引荐来源网址的 ($_SERVER['HTTP_REFERER'])***。
这是简化的,但本质上服务器看起来像:
if ($_SERVER['HTTP_REFERER'] !== "http://client-website.com/page/with/my-widget")
&& $_REQUEST["Key"] == "the_long_api_key") {
header("Content-type: application/x-javascript");
echo file_get_contents($thewidgetJS_in_secret_location_on_server);
} else {
//pretend to be a 404 page not found or some funky thing like that
}
小部件只允许在某些网站/页面上运行
现在,问题来了:
- 密钥
- 位于客户端,因此任何人都可以查看源代码并获取密钥
- 例如,引荐来源网址可以被欺骗(通过cURL)
还有一个小障碍:我不能告诉客户端将密钥粘贴在服务器上的 php 脚本中,因为它们可能正在运行任何服务器端语言!
那么,如何使我的 Web 服务安全且只能由给定域/页面访问呢?
任何帮助将不胜感激!
ps:该小部件会上传到一种投递箱 - 所以安全性是这里的关键!
id 建议使用白名单方法来解决此问题,我不完全确定这会解决问题,但是我对支付处理器使用了类似的技术,这需要您将服务器 IP 列入白名单。