例如,看看这个Facebook插件。
在客户端上,API密钥是明显可见的。有什么阻止其他用户获取这个密钥并在不同的网站上使用这个功能呢?
我发现一个非常天真的实现方式是检查请求来自的域名,但是这样的东西很容易伪造。
如果我要创建类似的东西,我该如何确保身份验证过程的安全性?
我希望尽可能多的工作在客户端进行,但肯定需要某种形式的服务器身份验证吧?如果有任何链接或建议,将不胜感激。
更新
关于API密钥的类似问题,我发现很有用。
用户名或电子邮箱地址
密码