우리는 크로스 도메인 로그인을 구현해야하는 수많은 웹 사이트를 보유하고 있습니다. 누군가 자격 증명으로 사이트 X에 로그인 한 경우 사용자가 사이트 A 또는 B로 이동할 때 사이트 A 또는 B에 자동으로 로그인해야합니다.페이스 북은 다양한 웹 사이트에 대한 로그인 구현을 좋아합니다.
또한 공통 UI/자바 스크립트를 제공하고자합니다. 사이트는 HTML 파일을 넣을 수 있으며 내부적으로 공통 API를 호출하여 사이트 A 또는 B에 사용자를 로그인합니다.
이것은 Facebook의 내용과 유사합니다. 페이스 북에 로그온하여 사이트로 이동하면 해당 사이트에 대한 사용 권한을 주면 자동으로 로그인됩니다.
또한 페이스 북 소셜 플러그인이있는 모든 사이트에 동일한 페이스 북 UI가 존재하며 페이스 북 플러그인을 포함한 사이트는 자체 서버에서 페이스 북을 호출 할 필요가 없습니다. 브라우저).
facebook 호출에 해당 앱에서 사용하는 API 키가 포함되어 있지만 API 키가 표시되어 더 이상 비밀이 아닙니다. FB는 동일한 API 키로 서버에 대한 임의의 DOS 공격을 어떻게 방지합니까? 사용자가 임의로 IP 주소를 변경하면 어떻게됩니까?
FB와 마찬가지로 API 키가 노출 된 이후로 X와 연결된 모든 웹 사이트 A, B를 구현하려고합니다. 어떻게 다른 악성 사이트를 중지시킬 수 있습니까, ABC .com이 동일한 API 키를 사용하고 네트워크의 일부인 것처럼 행동합니다.
호출이 브라우저 및 자바 스크립트에서 발생했기 때문에 API 키가 항상 노출되어 있다고 생각합니다. API 키가 비밀로 유지되도록 항상 호출이 서버에서 수행되어야합니까?
필자의 경우, A, B 등의 다양한 네트워크 웹 사이트의 UI가 X 서버에 무언가를 전달할 수 있으므로 서버 X는 호출이 실제로 신뢰할 수있는 원본에서 왔으며 가장하지 못하도록 식별 할 수 있습니다 ?
는투코
감사합니다. 대답은 약간 해결하는데 도움이되었습니다. – Tuco