Saber qué URL llama a PHP

Buenas!

Estoy trabajando en una pequeña API web, y me está surgiendo una duda:

El tema es que desde una web externa se puede hacer una llamada a la API, digamos así:

Lo que pasa es que por diversos temas se tiene que controlar el acceso. Por este motivo, solo ciertas URL pueden acceder a la API... por así decirlo, se tiene que configurar un acceso previamente desde la web "miweb.com".

El problema está en que no sé cómo controlar este acceso; es decir, se que se puede mirar el header "referrer", pero no sé hasta que punto es fiable usar esto como filtro... por eso posteo, a ver si alguien tiene alguna idea mejor... jeje

Espero haberme explicado bien, sino hago un esquema más detallado...

Saludos!

el control es muy sencillo, solo tenes que hacer una expresion regular o validacion que controle la aparicion de las url permitidas:
ejeplo:
if( $url tiene "miweb.com" )
ok
else
denegado

Gracias por contestar Patriarka.

Está claro que el control es sencillo. La duda/problema que tengo es que no se cómo capturar la URL externa y no se si mirar el referrer es fiable.

Saludos

el referer no es fiable del todo por que si no hubo url externa te da un error grande como una casa,
esto no deberia pasar si lo haces bien.
No tendrian que preocuparte tanto por el quiera acceder a tu url ya es un hecho que es externa,
cuando el referrer de ERROR notificas al usuario que haga bien las cosas

Para saber cual es la url que llama desde PHP usa la variable global ERVER['SCRIPT_NAME']

No me preocupa quién quiera acceder a mi url para acceder a la API; es obvio que si es una API (y aún si no lo fuera) ha de ser totalmente pública y accesible. Lo que me preocupa es a los datos que acceden desde cada web... te hago un poco de resumen:

En mi web los usuarios alojan datos personales (tan personales como quiera). En sus respectivas cuentas tienen muchas opciones de seguridad (privacidad) de manera que sus datos están "a salvo" de la vista de otros usuarios.

El caso está en que si hay una API, esto implica que algún usuario "listillo" (por decirlo así) podría intentar acceder a datos "publicos" de otros usuarios. Por eso implemento ciertos aspectos, tales como que solo se pueden acceder a los datos de usuario si éste lo permite (hay una opción en la web), y demás cosas.

Una de esas medidas consiste en que solo se puede acceder desde las URL que el usuario indique. Esto se hace para controlar desde qué sitios serán visibles los datos de cada usuario.

@kreil: he probado $_SERVER['script_name'] y casi casi me muestra lo que quiero. No obstante he hecho un volcado de $_SERVER y he obtenido varias variables (valga la redundancia) que me podrían ayudar a ello (por ejemplo la IP).

Gracias por contestar a ambos.

Saludos!

EDIT:

Ya está, tengo la manera de solucionarlo...

- Para poder acceder a la API, necesito incluír un "Header set Access-Control-Allow-Origin: http://dominio.com"

Por tanto, si no está en la lista no podrá acceder.

Gracias a todos por contestar!

es una regla del .htaccess ?

Se puede hacer mediante php o mediante htaccess.

Lo normal es que la gente ponga



Pero también se puede poner en .htaccess, e inclusive (como estoy haciendo yo) se pueden filtrar los origin.

Nunca te irás a dormir sin saber algo nuevo, dicen... jejeje =D

Saludos!