我很想知道基於URL的api密鑰限制是如何工作的,例如Google用來保護其Google地圖服務的限制。基於URL的API密鑰限制:驗證如何工作?
從我從這篇文章「Restricting Access to Ajax Services」中瞭解到的情況,有兩個部分:首先服務爲給定域創建特定密鑰,使用單向散列函數;其次服務根據Referer頭部驗證密鑰。
雖然這篇文章非常具有說明性,但我仍然有一個問題,試圖理解驗證方法的安全性。我的意思是,如果關鍵字只針對引用者進行檢查,是不是很容易僞造?我認爲hosts文件中的一個簡單的「127.0.0.1 www.mydomain.com」將足以欺騙驗證,並認爲引用者是www.mydomain.com。
我可能誤解了一些事情,我們將不勝感激。
看起來你的鏈接不好。如果你有機會糾正它,我會高興地看看! – 2009-06-21 14:24:39