Я строю интерфейс Javascript для взаимодействия с API, написанным на PHP. Я хочу создать веб-страницу для аутентификации пользователей, но цель веб-страницы — создать определенный ключ для доступа к API с определенного хоста, по одному ключу от каждого хоста.
Ведущий: example.com
, ключ: <generated_key>
Затем, когда ключ сгенерирован, идея состоит в том, чтобы добавить ключ к запросу сценария http следующим образом:
<script type="text/javascript" src="https://res.server.com/scripts.js?key=<generated_key>">
Но я хочу, чтобы серверу не нужны учетные данные от пользователя, который создает ключ, скрипт может быть запрошен на любой странице с хоста example.com
,
Идея состоит в том, чтобы создать аналитику из использования и связанных данных, но это может быть относительно example.com
, Никто не может включить то же самое script
тег на его веб-странице или использовать другой метод, чтобы создать данные для example.com
,
Я знаю, что не могу, доверять HTTP_...
заголовки, потому что ими можно манипулировать, но:
Могу ли я точно знать, что example.com
это единственный, который включает в себя script
тег, сгенерировавший запрос? Как?
Если ключ открытый, он необходим или достаточно доверять (1)?
Заранее спасибо.
Задача ещё не решена.
Других решений пока нет …