我有一個存儲用戶數據的網站。我正在開發一個Wordpress插件,允許其他網站訪問爲每個用戶存儲的數據並上傳新數據。確保API密鑰的安全
例如,喬在我的網站上創建一個帳戶並上傳信息。 Joe在他自己的網站上安裝插件,這將使他能夠訪問他存儲在我網站上的數據。
Joe網站的訪問者將能夠在我的網站上將數據上傳到Joe的帳戶。 Joe的網站將決定誰可以訪問,誰可以修改,誰可以在我的網站上將新信息上傳到Joe的帳戶。
我想過在我的網站上發佈API並讓Wordpress插件訪問它。據我所知,喬的網站會有一個API密鑰,允許他的網站通過我的網站進行身份驗證。但是,會阻止其他人使用該API密鑰並假裝成Joe的網站?
我已經看到了我想要做的類似實現,當我檢查客戶端上的代碼時,我可以看到api鍵。什麼會阻止我使用該API密鑰並假裝成爲網站?
有沒有一種方法來保護API密鑰,以便喬的網站訪問者沒有看到它?
我看到這個答案在這裏:How to securely use api key
但是不會訪問者仍然能夠看到關鍵時候喬的網站張貼在請求我的網站?
謝謝。
這是有道理的。謝謝。因此,在喬的網站上運行的Wordpress插件應該有一個PHP腳本,當Joe的訪客將他們想要加載到Joe的帳戶的信息發佈到我的網站時,而不是直接發佈到我的網站上,他們會發布到Joe的服務器中的php腳本,反過來會發布到我的網站?那我該怎麼去實現呢?謝謝 – jdias
我已更新我的答案 –
感謝您更新您的答案。但是,如果joe的訪問者檢查joe的網站中的頁面,那麼api密鑰是不是可見的?或者你的意思是打電話給我的網站將從喬的網站,而不是從瀏覽器的PHP腳本完成? – jdias