LINUX.ORG.RU

История изменений

Исправление balsoft, (текущая версия) :

  1. Сайт №1 передает запрос на свой бэкенд, обрабатывает его (проверяет валидность, например подтверждая аутентификацию и авторизацию пользователя), и делает запрос на сайт №2 с неким API-токеном (можно как параметр запроса, можно как header, можно как куки)
  2. Сайт №2 проверяет API-токен, и если он правильный, то выполняет запрос (если паранойя, можно ещё проверять что IP с которого пришел запрос принадлежит серверу, на котором хостится сайт №1).

Если делать запросы с фронтенда сайта №1, то любая, даже самая изощренная комбинация позволит произвольному пользователю сайта №1 посмотреть в исходники (ну или в историю запросов) и делать такие же запросы самому с помощью curl-а или чего-нибудь похожего. (другой вопрос, может если сайты №1 и №2 независимы, то это не так уж и плохо?)

Исправление balsoft, :

  1. Сайт №1 передает запрос на свой бэкенд, обрабатывает его (проверяет валидность, например подтверждая аутентификацию и авторизацию пользователя), и делает запрос на сайт №2 с неким API-токеном (можно как параметр запроса, можно как header, можно как куки)
  2. Сайт №2 проверяет API-токен, и если он правильный, то выполняет запрос (если паранойя, можно ещё проверять что IP с которого пришел запрос принадлежит серверу, на котором хостится сайт №1).

Если делать запросы с фронтенда сайта №1, то любая, даже самая изощренная комбинация позволит произвольному пользователю сайта №1 посмотреть в исходники (ну или в историю запросов) и делать такие же запросы самому с помощью curl-а или чего-нибудь похожего.

Исходная версия balsoft, :

  1. Сайт №1 передает запрос на свой бэкенд, обрабатывает его (проверяет валидность, например подтверждая аутентификацию и авторизацию пользователя), и делает запрос на сайт №2 с неким API-токеном (можно как параметр запроса, можно как header, можно как куки)
  2. Сайт №2 проверяет API-токен, и если он правильный, то выполняет запрос (если паранойя, можно ещё проверять что IP с которого пришел запрос принадлежит серверу, на котором хостится сайт №2).

Если делать запросы с фронтенда сайта №1, то любая, даже самая изощренная комбинация позволит произвольному пользователю сайта №1 посмотреть в исходники (ну или в историю запросов) и делать такие же запросы самому с помощью curl-а или чего-нибудь похожего.