من یک مسئله دارم و خیلی مطمئن هستم که من در مورد آن نیستم.
من امیدوارم که چند راه عالی داشته باشم، امیدوارم ضد گلوله، برای جلوگیری از هر گونه مسائل، پس در اینجا این است.
من یک API ارائه می دهم که از طریق درخواست POST HTML را به PDF تبدیل می کند. هنگامی که مشتری من تبدیل می کند، آنها یک کلید API برای تأیید اعتبار آنها فراهم می کنند. تا کنون خیلی خوب است.
من فکر میکنم راهی برای اجازه دادن به این مشتریان برای انجام تبدیل به طور مستقیم از داخل مرورگر سرویس گیرنده خود، در جاوااسکریپت است.
حالا این امکان وجود دارد با انجام جاوااسکریپت XHR POST درخواست از جمله کلید API، اما مسئله امنیتی بزرگ در اینجا این است که کلید API آنها در معرض عموم است و بنابراین می تواند مورد سوء استفاده قرار گیرد.
سوال من ساده است:
چگونه می توانم امکان ارائه اسناد را مستقیما در داخل مرورگر بدون آسیب رساندن به حساب خود از طریق کلید API؟
بهترین ایده من تا کنون این است که اجازه دهم مشتریم چندین کلید API را ایجاد کند و آمار مربوط به تعداد چند تبدیل از آن کلید داشته باشد. علاوه بر این، آنها می توانند نشان دهند که کدام دامنه برای این کلید کار می کند، محدود کردن استفاده به یک دامنه خاص (مجموعه ای از) دامنه ها.
اما من می دانم که این یک گلوله نیست زیرا هر کدوم می تواند ارزش میزبان را در درخواست و دور زدن این "امنیت"
چگونه می توانم امنیت را در حین ارائه قابلیت ظاهری افزایش دهم؟
با تشکر از کمک شما
