AJAX 서비스를 어떻게 보호합니까?

Question

지금은 Google지도에 오버레이 된 지역 식당의 리뷰/추천을 처리하는 서비스를 제공하고 있습니다. 기본적으로 Yelp이지만 특정 틈새 시장으로 제한됩니다. 어쨌든, 모든 위치를로드하고 한 번에 검토 할 필요가 없으므로 마침내 jQuery 및 AJAX 호출을 사용하고 있습니다.

내가 가진 질문은 다음과 같습니다. 서버의 내 아약스 스크립트에서 다른 사람들이 다른 데이터를 '긁어 모으지 못하게하려면 어떻게합니까?

기본지도/위치 정보 기능은 공개되어 있어야합니다. 사용자가 애플리케이션을 사용하기 위해 로그인 할 필요가 없으므로 간단히 말하자면 이 긁힐 수 있습니다. 나는 AJAX 베테랑 중 한 명이 나에게 더 나은 아이디어의 방향으로, 또는 내가 아직 찾을 수 없었던 몇 가지 '모범 사례'문서를 가리킬 수 있기를 희망한다.

지금까지 내가 가지고 올 수있었습니다 모두는 다음과 같습니다

• 사용자 지향 스크립트는 서버에 단명 한 세션을 열고 AJAX는 활성 세션없이 실행되지 않습니다 호출합니다.
• 응용 프로그램 코드와 함께 일종의 액세스 키를 보내고 모든 AJAX 호출에서이를 요구합니다. 그러나이 문제를 쉽게 해결할 수있는 방법으로 최선을 구현하는 방법을 모릅니다.

Answer 1

AJAX 웹 서비스를 완벽하게 보호 할 수는 없습니다. 데이터를 엉망으로 만들고 소스 코드를 난독 화한다고하더라도 패킷 스니퍼 나 프록시 디버깅을 시작하고이를 파악하고 그로부터 긁어 모으는 것은 쉽지 않습니다.

내가하는 일은 사용자가 제안한 것입니다 ... 사이트에서 활성 세션을 가진 사용자 만 전화를 걸 수 있습니다. 그런 다음 거기에서 스로틀 요청을합니다.

분주 한 일반 사용자조차도 분당 몇 개 이상의 요청을하지 않습니다. 로그를 분석하여 좋은 숫자가 무엇인지 파악할 수 있습니다. 분당 20 회의 통화로 서비스를 제한하더라도 이러한 제한으로 인해 모든 콘텐츠를 복제하려는 사람들에게는 아무런 소용이 없습니다.

세션 데이터에만 제한을 두지 말고 IP 주소를 감시하십시오. 언제든지 요청을 시작하고 새 세션을 시작할 수 있습니다. 주기적으로 로그를 확인하여 문제가 없는지 확인하고 적절하게 전략을 조정하십시오.

마지막으로 정기적으로 콘텐츠를 검색하십시오. Google은 저작권을 침해하는 사람을 찾는 훌륭한 도구입니다. GPS 좌표와 같은 특정 데이터를 사용하는 경우 실제로는 좌표의 노이즈 영역에서 특정 값을 사용하여 좌표에 워터 마킹 할 수 있습니다.

Answer 2

나는 당신이 서비스의 자바 스크립트 측면을 보호하기를 원합니다. JavaScript는 본질적으로 공개 소스이기 때문에 (공개 도메인이 아님)

Google은 공백과 탭을 제거하여 스크립트를 압축 할 수있는 tool called Google Closure을 제공합니다. 또한 변수 이름과 함수 이름을 임의 문자로 대체하여 문서를 난독화할 수 있습니다. 그것은 사용자 정의 할 수 있으므로 원하는 것을 말할 수 있습니다. 내가 말할 수있는 바에 따르면, Google은 자신의 웹 사이트 (페이지의 출처를 보면 분명 함)에 사용합니다.