0
我爲遊戲統計系統(PHP)創建了自己的API。 我希望用戶能夠從他們的遊戲登錄系統。安全API身份驗證
基本上,遊戲是用GM:HTML5(GameMaker for HTML5)製作的,這意味着它只是被模糊處理,但仍然可以通過任何JavaScript調試器讀取。
爲了使其工作,用戶將不得不包含一個PHP庫,它將連接到我的API系統。 但是,我想通過使用API密鑰限制訪問。
如果我發送帶有請求的API密鑰,它將可見(例如,通過使用Firefox的開發者控制檯)。使用該API密鑰,任何人都可以「登錄」並提交統計數據。
我想要做的是,以加密形式發送託管遊戲的域名和登錄請求。 (只需從我的PHP庫到服務器的簡單GET請求)。然後服務器將不得不解密該字符串(加密的域/ IP)並檢查它是否與也與請求一起發送的API密鑰相匹配。
但我想知道,這實際上有多安全。
如果不安全,那將是更好的方法?
任何代碼示例...?:D(用於遠程PHP) – Jeffrey
$ signData = array('oauth_time'=> time(),'oauth_nonce'=> uniqid(),'oauth_consumer_token'=>'abcdef'); - 然後用HMAC標記所有這些字段(使用oauth_consumer_secret)。我想說的是:您可能不希望整個OAuth實現,但其中的簽名概念非常有用。 –
我根本不想使用OAuth :( – Jeffrey