Foros del Web » Programando para Internet » Javascript » Frameworks JS »

¿Como asegurar peticiones a API desde Javascript?

Estas en el tema de ¿Como asegurar peticiones a API desde Javascript? en el foro de Frameworks JS en Foros del Web. Hola a todos. El Contexto He desarrollado un API en PHP y un cliente en Javascript y HTML, ambos componen mi aplicación. Todo funciona de ...
  #1 (permalink)  
Antiguo 28/05/2012, 15:48
 
Fecha de Ingreso: febrero-2009
Mensajes: 7
Antigüedad: 15 años, 9 meses
Puntos: 0
Pregunta ¿Como asegurar peticiones a API desde Javascript?

Hola a todos.

El Contexto

He desarrollado un API en PHP y un cliente en Javascript y HTML, ambos componen mi aplicación. Todo funciona de maravilla. El cliente hace las peticiones a la API a través de Ajax, la API las procesa y retorna un resultado al cliente para ser mostrado.

El Problema

Ambos funcionan perfectamente en el mismo HOST. Pero si alguien mas desde otro lugar hace peticiones a la API esta le responderá. En este punto modifique la API para que respondiera solo si existía una sesión activa en el servidor.

Lo cual me genera dos inquietudes mas. Primero. no puedo proteger la parte de autenticacion del usuario en la API con el método anterior puesto que por lógica no existe una sesión activa porque apenas va a iniciarla.

y la segunda, Si existe un usuario mal intencionado que posee una sesión activa decide realizar peticiones a la API con los valores que este desee lo podría hacer.

La solución (en teoría)

Que la API solo acepte peticiones del cliente, con algún tipo de llave secreta que acompañe las mismas, pero recuerden que el cliente esta 100% hecho en JS y HTML lo cual impide almacenar de cualquier forma la llave en este.

Alguien puede ayudarme con este problema
  #2 (permalink)  
Antiguo 29/05/2012, 09:38
 
Fecha de Ingreso: febrero-2010
Mensajes: 11
Antigüedad: 14 años, 9 meses
Puntos: 0
Respuesta: ¿Como asegurar peticiones a API desde Javascript?

No estoy muy seguro, he trabajado un poco con las apis de twitter que estan diseñadas con rest, utilizan OAuth dale una checada a este link podria ayudarte, nunca he implementado Oauth pero he visto que funcion muy bien con apis

http://hueniverse.com/2010/05/introducing-oauth-2-0/

Etiquetas: ajax, api, cliente, javascript, jquery, js, keys, secret, seguridad
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 10:46.