Вероятно, это общий вопрос безопасности, но я подумал, что задам его в области того, что я разрабатываю.
Сценарий таков: веб-служба (WCF Web Api), которая использует ключ API для проверки и сообщения мне, кто является пользователем, а также сочетание jQuery и приложения в интерфейсной части.
С одной стороны, трафик может быть https, поэтому его нельзя проверить, но если я использую один и тот же ключ для каждого пользователя (скажем, guid), и я использую его в обоих, то есть шанс, что он может быть использован, и кто-то может выдать себя за Пользователь.
Если я реализую что-то вроде OAuth, тогда создается пользователь и ключ для каждого приложения, и это может сработать, но все же для стороны jQuery мне понадобится ключ API приложения в javascript.
Это было бы проблемой только в том случае, если бы кто-то был на реальном компьютере и делал исходный код просмотра.
Что я должен делать?
- md5 или ключ как-то зашифровать?
- Поместите ключ в переменную сеанса, а затем при использовании ajax получить его?
- Преодолей это, это не такая уж большая проблема / проблема.
Я уверен, что это, вероятно, обычная проблема, поэтому любые указатели будут приветствоваться.
Чтобы было понятнее - это мой API, который я написал, что я запрашиваю, а не Google и т. д. Так что я могу делать токены сеанса и т. д., я просто пытаюсь разработать лучший способ защитить токены / ключи на стороне клиента, которые я бы использовал.
Я здесь немного осторожен, но просто использую это, чтобы учиться.