Как правильно защищать вызов AJAX?

Question

Веб-сайт запрашивает URL-адрес из удаленного RESTful API, который затем возвращает объект JSON с конфиденциальными данными.

Как защитить этот звонок от «клиента»? Если я отправляю какие-либо заголовки или отправляю данные для аутентификации (ключи, учетные данные и т. Д.), Он все равно будет видимым пользователю и победит цель.

В принципе, как я могу убедиться, что кто-то не может назвать тот же URL-адрес, который я вызываю через AJAX в своем браузере и защищаю конфиденциальные данные? Если я использую параметры сообщения, они будут видны в коде javascript.

$.post({ 
    url: ..., 
    username: ..., 
    password: ..., 
    key: ..., 
    ... 
}); 

Answer 1

Ну, я думаю, вы можете использовать маркеры для идентификации и истекают их, скажем, после п числа запроса. Однако любые данные, которые вы хотите отправить на сервер из браузера, будут видны пользователю, если вы не обработаете (не зашифруете) данные.

Или вы можете сделать ваше соединение безопасным, используя SSL, OAuth или любые другие протоколы.

Answer 2

Ваша текущая цепь событий:

форма пользователя представлены -> JS добавляет чувствительные параметры -> вся информация отправляется 3 участника -> JS разбирает ответ, и т.д ...

Что вы должны стремиться к:

пользователя отправленной формы -> вся информация отправляется ВАША сервер -> сервер добавляет чувствительные параметры -> сервер кудри 3 участника -> сервер получает ответ -> сервер сообщ icates назад к пользователю

Мораль истории?

На стороне клиента Javascript НИКОГДА не должен использоваться для обеспечения безопасности и шифрования данных.