這甚至可能。保護REST Api而不要求用戶認證的最佳方法
給定的場景是我正在用ember.js或backbone.js構建一個商店。商店將能夠獲得所有產品和個別產品。然而,當用戶想要購買物品時,他們直接被帶到結帳處,並且沒有購物車或用戶註冊/登錄過程。我想知道是否有可能以某種方式驗證新的POST請求,該請求用於更新數量並將用戶送貨信息發回給用戶,而不是基於用戶是否已登錄並通過身份驗證,但可能基於請求的來源?例如基於IP或基於客戶端上存在的SSL證書的簽名。
我一直在使用Parse來播放後端,並在前端使用ember來實現這一點,ember數據提供了很好的資源來與REST apis接口,但大多數需要密鑰以某種方式傳遞給請求,因此放置在客戶端代碼內。不好。我怎樣才能在我的情況下實現這一目標,或者它根本無法實現?
你明白了,這就是我將要使用的過程,不包括cookie部分,我本質上是將數據發送到用戶發送信息的數據庫以及產品信息和唯一事務我從Stripe的退貨中獲得的ID,以便我們有辦法將購買與用戶送貨信息聯繫起來,以確保我們已收到付款。我唯一關心的就是確保有人不能訪問我的數據庫,因爲我的密鑰暴露在客戶端的javascript中。因此,任何人都可以抓住這些密鑰並找出解析URL – Jordan
我從來沒有使用過Parse,但是如果他們沒有提供與您的JS應用程序進行通信的安全方式,那麼我會保持清晰。在公共API中暴露客戶的密鑰似乎是一個非常糟糕的主意! –
是的,我猜他們假設我將它抽象爲某種類型的服務器腳本,並使用ajax或其他類似的東西發佈,我可以試試這個,但是我不是那個主題的超級知名人士,所以我們會看看發生。感謝您的洞察力。 – Jordan