아마도 내가 불가능한 것을 묻는 중입니다.하지만 API에 대한 클라이언트 요청을 인증하는 방법을 찾으려하지만 일부 클라이언트는 JavaScript 만 사용할 수 있습니다 요청을 보냅니다 (한 줄의 서버 측 코드를 작성할 수없는 호스팅 서비스를 사용함). 즉, API 키, 암호 또는 해시는 JavaScript에서 처리해야하므로 효과적으로 쓸모 없게됩니다.원격 API에 액세스하기위한 JavaScript 전용 클라이언트 보안 설정
난독성이있는 코드를 사용하는 일부 API를 보았지만 제 생각에는 이러한 접근 방식은 JavaScript Beautifier로 쉽게 읽을 수있는 잘못된 보안 감각을 제공합니다. 더 좋은 접근 방법이 있습니까?
미리 답변 해 주셔서 감사합니다.
클라이언트가 일반 인증 프로세스 (물론 https 사용)를 통과하고 세션이 설정된 경우 ajax API 액세스가 안전합니다. 그게 충분하지 않아? – Pointy
@Pointy 문제는 클라이언트가 여전히 인증을 받아야한다는 것입니다. 이는 일반 텍스트로 된 자격 증명 (JavaScript를 통해 다시 한 번)을 전달한다는 의미입니다. 인증에는 사용자 상호 작용이 필요하지 않습니다. – Diego
@Diego 예 처음 읽었을 때 약간의 오해가있었습니다. 사용자가 제공 한 "비밀"이없고 JavaScript가 자동으로 인증되면 사용자가 숨길 수있는 방법이 없습니다. – Pointy