JSON API 요청에서 API 키를 숨기는 방법

Question

카드 번호 유효성 검사 및 트랜잭션 삽입 기능을 제공하는 API 서버를 만들고 있습니다.

샘플 API의 URL = http://mydomain.com/api.json?cardnumber=2342343244&api_key=jhj67asd234tgbh123

기존 시스템 : 내가 클라이언트 시스템에 API 키를 제공하고 (ebay.com를 말). 사용자가 유효한 카드를 가지고있는 경우 할인을 제공합니다. 따라서 고객은 최종 사용자에게 유효한 카드 번호를 입력하는 양식 필드를 제공합니다.

문제점 : 내 클라이언트가 유효성 검사를 처리하기 위해 내 도메인에 아약스 요청을 작성 중입니다. 문제는 콘솔에서 api 키가 보이고 누구나 클라이언트 시스템 외부에서 요청을 할 수 있다는 것입니다 (보안 상 손실).

제안 시스템 : 내 api 키가 숨겨진 시스템을 제안하여 요청이 안전하게 처리되도록하십시오. 해결책은 API를 작성하는 다른 방법 일 수 있습니다.

API에 대한 지식이 부족합니다. 어떤 도움을 주시면 감사하겠습니다.

Answer 1

제 경험상이 작업을 수행하는 쉬운 방법은 없습니다.

제가 알고있는 유일한 방법은 클라이언트에게 일회용 키를 제공하는 것입니다. 그것의 사용한대로, 그것은 만료되고 클라이언트는 새로운 것이 필요할 것이다.

이렇게하면 콘솔에서 키를 볼 수 있다는 것은 중요하지 않습니다. 단 하나의 요청에 대해서만 유효합니다.

도움이 되었기를 바랍니다.하지만 다른 사람들이 가지고있는 제안에 대해 듣고 싶습니다.