Это, вероятно, общий вопрос безопасности, но я думал, что задаю вопрос в том, что я разрабатываю.
Сценарий: веб-служба (WCF Web Api), которая использует ключ API для проверки и указания мне, кто является пользователем, и сочетание jQuery и приложения на передних концах.
С одной стороны, трафик может быть https, поэтому он не может быть проверен, но если я использую один и тот же ключ для каждого пользователя (скажем, guid), и я использую его как в том, так и в том случае, когда это возможно, кто-то может олицетворять пользователя.
Если я реализую что-то похожее на OAuth, тогда генерируется пользователь и ключ для каждого приложения, и это может сработать - но все же для стороны jQuery мне понадобится ключ API приложения в javascript.
Это будет проблемой только в том случае, если кто-то был на самом компьютере и сделал источник просмотра.
Что мне делать?
- md5 или как-нибудь зашифровать ключ?
- Поместите ключ в переменную сеанса, а затем при использовании ajax его получите?
- Поверните это, это не та большая сделка/проблема.
Я уверен, что это, вероятно, общая проблема, поэтому любые указатели будут приветствоваться.
Чтобы сделать это более понятным - это мой API, я написал, что я запрашиваю, а не google и т.д. Поэтому я могу делать на токенах сеансов и т.д. Я просто пытаюсь выработайте лучший способ защитить токены/ключи клиентской стороны, которые я буду использовать.
Я немного чересчур осторожен, но просто использую это, чтобы узнать.