我正在为一个网站创建一个 PHP API,我想限制 API 对在我们服务器上注册的域的访问(以防止滥用 API 使用)。所以,这是我现在的方法,嗯,它在纸面上看起来应该很不错。
api.example.com 上设置。mcrypt)并通过 cURL 将其发送到 api.example。 com.mcrypt 解密请求,然后使用相同的方法加密并发送结果。我卡在了第 4 步。最初,我计划使用 HTTP_REFERER 来检查它,但是由于默认情况下 cURL 不发送一个,并且它很容易在用户端代码中被伪造(CURLOPT_REFERER 据我所知记住),我被困在这里。
有没有办法知道这个 API 请求来自哪个域?我看到它可以通过一些流行的 API 来完成,比如 reCAPTCHA。检查 _SERVER["REMOTE_HOST"] 并不是一个真正的选项,因为共享主机(它们具有相同的 IP),因此这将无法防止滥用(无论如何,这主要来自共享服务器)。
有没有这样的检查方法?谢谢!
最佳答案
@Shafee 有一个好主意,只是需要进行一些调整。我们专注于 API 调用的可见部分,即 API key 。这在 URL 中可见,并告诉 API 谁 正在请求数据。与其试图阻止其他人窃取此 key 并使用他们拦截它的域运行他们自己的 cURL 调用,我们可以“只是添加”另一个 key 到组合中,这个 key 对那些拦截器不可见.我并不是说停止检查请求的来源,它仍然是在脚本早期踢出无效请求的好方法,但是使用第二个 key ,您可以保证只有请求数据的人真正知道如何获取数据(您相信他们不会将其泄露给任何人)。
因此,当用户注册一个 key 时,您实际上是在为用户分配两个不同的 key 。
API_KEY - 将您连接到您的域的公钥。系统查找提供的域和 key 以找到下一个 key 。
MCRYPT_KEY - 这是将用于通过 Mcrypt 实际加密数据的 key 。由于它是加密数据,只有请求者和服务器知道它是什么。您使用 key 加密数据并将加密的输入与您的 API key 一起发送到服务器,服务器通过提供的 API key 和域(和 IP)找到解密该输入所需的 key 。如果他们没有使用正确的 key 加密数据,那么使用正确的 key 解密将返回乱码,并且 json_decode() 调用将返回 NULL,从而允许脚本简单地返回“invalid_input”响应。
最终使用这种方法,我们是否还需要检查请求来自何处(域/IP)?使用这种方法实际上归结为 API 用户不会将他们的 API/MCRYPT key 对泄露给其他用户,类似于不泄露您的用户名/密码。即便如此,任何网站都可以轻松地注册以获得自己的 key 对并使用 API。还要注意,除非用户使用正确的用户名和密码登录,否则 API 甚至不会向其服务器返回任何有用的信息,因此他们的终端已经拥有该信息。我们的服务器真正返回的唯一新内容是在成功验证用户后他们的电子邮件地址。话虽如此,我们还需要使用 cURL 吗?我们不能简单地使用 file_get_contents('http://api.example.com/{$API_KEY}/{$MCRYPT_DATA}') 吗?我意识到我在回答中提出了更多问题...
关于php - 创建 PHP API : Checking from which server the API Request comes from,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7007594/
出于纯粹的兴趣,我很好奇如何按顺序创建PI,而不是在过程结果之后生成数字,而是让数字在过程本身生成时显示。如果是这种情况,那么数字可以自行产生,我可以对以前看到的数字实现垃圾收集,从而创建一个无限系列。结果只是在Pi系列之后每秒生成一个数字。这是我通过互联网筛选的结果:这是流行的计算机友好算法,类机器算法:defarccot(x,unity)xpow=unity/xn=1sign=1sum=0loopdoterm=xpow/nbreakifterm==0sum+=sign*(xpow/n)xpow/=x*xn+=2sign=-signendsumenddefcalc_pi(digits
关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题?更新问题,以便editingthispost可以用事实和引用来回答它.关闭4年前。Improvethisquestion我想在固定时间创建一系列低音和高音调的哔哔声。例如:在150毫秒时发出高音调的蜂鸣声在151毫秒时发出低音调的蜂鸣声200毫秒时发出低音调的蜂鸣声250毫秒的高音调蜂鸣声有没有办法在Ruby或Python中做到这一点?我真的不在乎输出编码是什么(.wav、.mp3、.ogg等等),但我确实想创建一个输出文件。
使用带有Rails插件的vim,您可以创建一个迁移文件,然后一次性打开该文件吗?textmate也可以这样吗? 最佳答案 你可以使用rails.vim然后做类似的事情::Rgeneratemigratonadd_foo_to_bar插件将打开迁移生成的文件,这正是您想要的。我不能代表textmate。 关于ruby-使用VimRails,您可以创建一个新的迁移文件并一次性打开它吗?,我们在StackOverflow上找到一个类似的问题: https://sta
我对最新版本的Rails有疑问。我创建了一个新应用程序(railsnewMyProject),但我没有脚本/生成,只有脚本/rails,当我输入ruby./script/railsgeneratepluginmy_plugin"Couldnotfindgeneratorplugin.".你知道如何生成插件模板吗?没有这个命令可以创建插件吗?PS:我正在使用Rails3.2.1和ruby1.8.7[universal-darwin11.0] 最佳答案 随着Rails3.2.0的发布,插件生成器已经被移除。查看变更日志here.现在
如何使用RSpec::Core::RakeTask初始化RSpecRake任务?require'rspec/core/rake_task'RSpec::Core::RakeTask.newdo|t|#whatdoIputinhere?endInitialize函数记录在http://rubydoc.info/github/rspec/rspec-core/RSpec/Core/RakeTask#initialize-instance_method没有很好的记录;它只是说:-(RakeTask)initialize(*args,&task_block)AnewinstanceofRake
关闭。这个问题需要detailsorclarity.它目前不接受答案。想改进这个问题吗?通过editingthispost添加细节并澄清问题.关闭8年前。Improvethisquestion为什么SecureRandom.uuid创建一个唯一的字符串?SecureRandom.uuid#=>"35cb4e30-54e1-49f9-b5ce-4134799eb2c0"SecureRandom.uuid方法创建的字符串从不重复?
我正在阅读SandiMetz的POODR,并且遇到了一个我不太了解的编码原则。这是代码:classBicycleattr_reader:size,:chain,:tire_sizedefinitialize(args={})@size=args[:size]||1@chain=args[:chain]||2@tire_size=args[:tire_size]||3post_initialize(args)endendclassMountainBike此代码将为其各自的属性输出1,2,3,4,5。我不明白的是查找方法。当一辆山地自行车被实例化时,因为它没有自己的initialize方法
我正在尝试按0-9和a-z的顺序创建数字和字母列表。我有一组值value_array=['0','1','2','3','4','5','6','7','8','9','a','b','光盘','e','f','g','h','i','j','k','l','m','n','o','p','q','r','s','','u','v','w','x','y','z']和一个组合列表的数组,按顺序,这些数字可以产生x个字符,比方说三个list_array=[]和一个当前字母和数字组合的数组(在将它插入列表数组之前我会把它变成一个字符串,]current_combo['0','0','0']
这篇文章是继上一篇文章“Observability:从零开始创建Java微服务并监控它(一)”的续篇。在上一篇文章中,我们讲述了如何创建一个Javaweb应用,并使用Filebeat来收集应用所生成的日志。在今天的文章中,我来详述如何收集应用的指标,使用APM来监控应用并监督web服务的在线情况。源码可以在地址 https://github.com/liu-xiao-guo/java_observability 进行下载。摄入指标指标被视为可以随时更改的时间点值。当前请求的数量可以改变任何毫秒。你可能有1000个请求的峰值,然后一切都回到一个请求。这也意味着这些指标可能不准确,你还想提取最小/
我正在尝试在Rails上安装ruby,到目前为止一切都已安装,但是当我尝试使用rakedb:create创建数据库时,我收到一个奇怪的错误:dyld:lazysymbolbindingfailed:Symbolnotfound:_mysql_get_client_infoReferencedfrom:/Library/Ruby/Gems/1.8/gems/mysql2-0.3.11/lib/mysql2/mysql2.bundleExpectedin:flatnamespacedyld:Symbolnotfound:_mysql_get_client_infoReferencedf