Как вы проверяете, что запрос API поступил из определенного домена?
У меня есть веб-API, которому я хочу разрешить любому домену отправлять данные. Однако, чтобы предотвратить поддельный спам, я хочу найти какой-нибудь способ убедиться, что запрос, в котором указано, что он из определенного домена, на самом деле из этого домена и что кто-то не пытается обмануть меня, публикуя от имени другого домена.
Например, если http://example.com предоставляет некоторые данные - это хорошо. Если сценарий kiddie #237 отправляет данные, утверждающие, что example.com - это плохой.
Сначала я собирался использовать систему секретных ключей для подписи HMAC каждого запроса, но регистрация будет открытой, бесплатной и автоматизированной для этого API. Я не уверен, как я мог бы сказать, действительно ли ПерсонА или ПерсонБ владеет http://example.com и заслуживает ключа API.
1 answers
Предоставьте ключевой файл , который они должны будут загрузить в этот домен. И вы проверяете наличие и достоверность данных по своей внутренней базе данных.