是否有任何方法可以识别API请求来自何处?
识别API请求来源的方法有多种,主要可以通过以下几种方式:
1. IP地址追踪
通过检查HTTP请求头中的X-Forwarded-For或X-Real-IP字段,可以获取到发起请求的客户端的IP地址。这可以帮助确定请求的物理位置。
示例代码(Node.js):
app.use((req, res, next) => {
const ip = req.headers['x-forwarded-for'] || req.connection.remoteAddress;
console.log(`Request from IP: ${ip}`);
next();
});2. HTTP头信息
除了IP地址,HTTP请求头中还包含其他信息,如User-Agent可以提供发起请求的用户代理(浏览器类型、操作系统等),Referer可以指示请求是从哪个页面发起的。
3. API密钥
为每个客户端生成唯一的API密钥,并在请求中包含这个密钥。服务器端可以验证这个密钥来确定请求的来源。
示例代码(Python Flask):
from flask import Flask, request, abort
app = Flask(__name__)
API_KEYS = {'client1': 'key1', 'client2': 'key2'}
@app.route('/api')
def api():
client_key = request.headers.get('X-API-KEY')
if client_key not in API_KEYS.values():
abort(403)
return "Access granted!"
if __name__ == '__main__':
app.run()4. OAuth认证
使用OAuth等认证机制,可以确保只有经过授权的应用程序才能访问API。
5. 请求签名
客户端可以对请求进行签名,服务器端验证签名来确认请求的合法性和来源。
应用场景
- 安全控制:防止未授权访问。
- 流量分析:了解API的使用情况和用户行为。
- 服务定制:根据请求来源提供不同的服务或数据。
可能遇到的问题及解决方法
- IP欺骗:攻击者可能伪造IP地址。解决方案是结合其他验证方法,如API密钥或OAuth。
- 隐私保护:获取和使用IP地址可能涉及隐私问题。解决方案是遵守相关法律法规,确保用户知情同意。
- 性能影响:频繁的IP地址查询可能影响性能。解决方案是使用缓存机制。
参考链接
通过上述方法,可以有效地识别API请求的来源,并采取相应的安全措施。
相关·内容
我已经建立了一个API与Laravel + Sanctum消费的反应本地应用程序。我需要存储用户的国家,无论他们是否登录。将不得不检查访问者的国家对每一个请求发送他们的国家特定的产品作为回应,需要用户可以识别像一个网络会话。
如何/在何处将信息存储为会话,或者是在服务器上存储有关API?的数据的可行选项。
我知道这不是Laravel的具体问题,但我在网上找不到任何标准答案。
浏览 21提问于2022-08-12得票数 0
回答已采纳
"chunk_download“这个词,我的意思是,是否有任何健壮的api从dropbox下载文件。我使用的api(python)是
for media in dbx.files_list_folder("/"+ directory).entries:
dbx.files_download_to_file(path_local_machine, path_dropbox)
但上述api并不健壮,在网络超时情况下可能会失败。
有没有办法找到下载的进度?
如何处理网络错误的异常,以及如何继续下载?
浏览 4提问于2015-12-20得票数 0
我正在设计一个REST,并有一个项目集合,只需称之为PROD;
PROD有其典型端点,可接受典型操作(POST、GET等)。
api/prods/AAAAA
api/prods/BBBBB
api/prods/CCCCC
现在,我想识别一个名为current PROD的特定项目;
当前PROD是完全驻留在后端的逻辑所选择的项之一,应该接受所有的HTTP操作;
我应该如何创建一个端点来识别它?
这是个不错的选择吗?
api/prods/current
然后,在后端,我透明地将操作应用于我认为是当前的任何项。
我正在尝试实现这个解决方案,但似乎并不完全正确。
对于如何处理这个场景,有什么想法吗?
浏览 2提问于2020-03-29得票数 0
我有一个弹簧引导微服务应用程序。我有个要求,
如果方法是通过控制器(即某些用户命中API)调用的,响应应该是登录用户的用户名。
如果从任何非控制器(如调度任务、异步方法等)调用方法,响应应该是默认用户,即系统。
所以,我有一个UserDetailService方法,在这里我想要写这个逻辑。
@Service
public class UserDetailsService
{
@Autowired
WebClient.Builder webClientBuilder;
@Autowired
HttpServletRequest request;
浏览 3提问于2021-01-22得票数 1
回答已采纳
2回答
我已经使用expressJs开发了简单的REST API。我使用React作为我的客户端应用程序。所以问题是任何人都可以看到我的API端点,因为react应用程序在客户端。因此,他们还可以从我的REST API发出请求和获取数据。(他们可能会使用我的API构建自己的客户端应用程序。)我已经看过一些关于这个问题的问题,但找不到任何全面的答案。这种安全问题应该如何处理?是否可以将API的访问权限仅授予我的客户端应用程序?如果不是,使用REST API的大品牌如何阻止这种情况?(另外,我的产品中也没有用户身份验证场景。人们只需访问和使用网站即可。他们不需要注册)。
浏览 2提问于2021-12-01得票数 0
2回答
我即将开始做一个项目,它基本上是一个移动银行应用程序的网络接口。API已经准备好了,我只需要提供web应用程序的前端部分。我本来打算用主干/角形/Ember来制作它,但开始担心安全性。
特别是以下几点。通常,每个API请求都必须包含一个参数method_code,该参数以用户令牌、方法名和秘密API密钥的散列形式计算。如果我把计算这个参数的逻辑放在一个.js文件中,任何人都可以使用诸如邮递员甚至浏览器控制台之类的工具来访问一些敏感数据。我该如何处理这个问题呢?我可以有一个服务器端脚本为我生成method_code,但是否有可能只让我的web应用程序请求访问它呢?
浏览 1提问于2014-12-15得票数 4
回答已采纳
我们有一个面向公众的web服务器,具有自定义的API功能,允许用户下载与我们开发的网站相关的数据。它只是一种选择,让用户在网站背后的数据,供他们自己使用,并以json格式。
我的问题与任何错误或问题本身无关。这是一个关于安全的问题,如果我们这样做是安全的。
我对CORS并不熟悉,我想知道这样做是否足够安全?
builder.Services.AddCors(p =>
p.AddPolicy("corsapp", builder =>
{
builder.WithOrigins("*").AllowAny
浏览 9提问于2022-10-06得票数 0
回答已采纳
1回答
所以我试着更好地理解ethereum,我是个业余爱好者。请原谅我的天真。我正试图仔细考虑这个场景,以了解它是否可能,或者如何实现。如果我目前的理解有任何错误,请纠正我。
鲍勃买了一辆NFT。在乙醚区块链上,您现在可以看到NFT所有者Bob的公共地址。
然后,我有一个运行API的服务器,如果服务器能够识别出它来自那个特定NFT的所有者Bob,我希望这个服务器只在它的API上运行一个特定的请求。
是否有办法使Bob能够签署发送给服务器的请求,这样服务器就可以查看块链上NFT上Bob的公共地址,并识别出实际来自Bob的请求?
浏览 0提问于2021-03-25得票数 0
2回答
我如何保护我的REST来识别由某些用户/脚本生成的假请求,并用数百万个请求淹没我的服务器?
如果有人编写了任何脚本或程序,并生成了对REST的数百万次调用,我如何才能保护我的服务不受这些请求的影响,这样我的API就不会崩溃。一种方法是,我可以使用captcha,但captcha是有用的,当调用者是人。如果调用者是一个应用程序,我不能使用captcha。是否有任何相同的框架可用于处理此类场景?
浏览 4提问于2017-11-06得票数 0
回答已采纳
1回答
我正在用Laravel5.5构建一个web应用程序+ REST服务器,这样用户就可以通过web界面在线访问服务,或者通过移动应用间接地使用API。
现在的目标是拥有相同的控制器,能够利用FormRequests内置的双路由和自动JSON响应来处理API和直接请求。
我想出的主要问题是:
如何处理相同控制器函数上的JSON (用于API访问)和HTML视图(用于web访问者)响应?
如何管理控制器中的“资源未找到”错误,然后以所需的方式回复用户?
解决第二个问题的一种可能方法是使用"findOrFail“,然后捕获异常,查看请求是否有"Accpet”头并相应地进行
浏览 1提问于2018-01-23得票数 1
回答已采纳
我已经做了一个API使用菲尔斯特金REST Api,它使用的代码点火器框架。向我的api发出的每个请求都应该在请求头中有:{api}。我是否可以获得请求的api键,以便api能够识别在我的system.Is中生成api键的用户,不管怎么说,我从报头中得到了X键值?
浏览 3提问于2014-03-18得票数 0
回答已采纳
2回答
Web 2,目前这是我们如何处理POST,PUT。我不知道这是否是最好的方法,因为在PUT请求的正文中没有id是不好的吗?我对请求体进行了验证,应该单独验证id吗?
[HttpPost]
[Route("api/people")
public IHttpActionResult CreatePerson(PersonRequest request)
{
}
[HttpPut]
[Route("api/people/{id:int}")]
public IHttpActionResult UpdatePerson(int id, PersonRequest r
浏览 3提问于2016-06-02得票数 0
回答已采纳
1回答
是否有任何方法来识别从哪个源调用API?源引用IOS应用程序,web应用程序如页面或按钮点击( Ajax调用等)。
虽然,可以在调用api时保存一个标记(?source=ios或?source=webapp),但我只想知道还有其他更好的方法来实现这一点吗?
我还觉得这个要求很奇怪,因为通常有n个用户使用App或web应用程序,因此很难监视这些API调用。
请给出你的宝贵建议。
浏览 6提问于2015-04-24得票数 6
回答已采纳
3回答
对于我的项目课程,我想用iPhone开发一个应用程序。我有一些objective-c的知识,但我不知道Apple提供了什么样的API。
我已经实现了RESTful web服务,我想知道是否有办法通过iPhone访问此RESTful应用程序接口的功能。我的意思是,什么样的API区域可用于发送HTTP GET、POST、...以及如何处理web服务返回的JSON/XML数据?
任何帮助都是非常感谢的。
浏览 1提问于2011-05-27得票数 0
回答已采纳
我有一个启用/配置了TTL流和DynamoDB流的DynamoDB表。
是否有任何标志/属性可以帮助识别TTL删除的记录已经被某个lambda函数读取/处理?例如,我在DynamoDB流中有10条记录,一个lambda函数读取了5条记录,并对其进行了一些处理(将其转发到Kinesis Firehose或S3)。所以,我想确定这5条记录是如何处理的。
浏览 5提问于2021-07-13得票数 0
1回答
我们有Ajax调用来验证create页面上的UserID,这样那里的用户才能知道他们选择的ID是否可用。
我们公开了这个URL:https://mydomain.com/validateId?id=<user enter value>
最近,一些黑客向这个URL发送大量并发请求,我们观察到CPU上的负载非常高,甚至达到100%
在Ajax调用的操作中,我们没有任何可用的会话标识符。我们能用什么技术来防止这么多的直接并发呼叫?有什么方法可以识别用户是否正在从create页面触发这些Ajax调用,而不是直接使用一些恶意工具呢?
浏览 0提问于2013-07-07得票数 0
回答已采纳
我理解为什么会出现异常“”一个潜在危险的Request.Form value…“”,以及它为什么有用。我想在我的页面上放置客户端验证器,检查输入是否包含<> ON=或其他任何可能触发此异常的内容。问题是,我不知道触发异常的所有字符或字符串。是否有某个位置的触发器列表?我似乎找不到它,只有与异常本身以及如何处理它相关的问题/答案。
此外,如果请求来自外部来源,而不是我的表单,我如何判断和如何处理它?Asp.NET会自动执行此操作吗?隐藏字段可以工作吗?或者黑客可以绕过它吗?
感谢您能提供的信息(包括链接)。
更新:
对于任何感兴趣的人,我提出了一个正则表达式,它可以匹配任何包含这些字
浏览 2提问于2011-05-22得票数 2
回答已采纳
1回答
我有下面的PNG图像,我试图识别使用Python选中哪个框。
我安装了OMR (光学标记识别)软件包,但是它没有任何帮助,也没有任何关于OMR的文档。因此,我需要知道是否有任何API或有用的包可以与Python一起使用。
这是我的形象:
浏览 7提问于2015-03-21得票数 4
回答已采纳
我们已经设置了以下apis
Development : ASP NET Core 2.1 C#
Backend api deployment : In AWS through docker
Gateway : AWS API Gateway which contains custom lambda Authorizer
需求:在后端API中获取api网关请求id,用于日志记录和请求跟踪。
当请求通过API网关时,它会生成一个请求id。这是由网关在"x-amzn-RequestId“中的响应头中设置的,并且可以在客户端(如postman)中看到。我可以发现这个id在APIGatewayC
浏览 7提问于2019-11-21得票数 1
回答已采纳
我想把录音的音频文件语音转换成文本。我正在尝试使用Google使用异步语音识别。
关于如何进行,我几乎没有什么问题。
1 .我想转换音频文本,而不想实时转换.所以我应该用异步记忆?
使用SpeechGrpc。在android ASychronous语音识别中是否有必要使用?或者我可以在认证后使用SpeechClient ..How?
2 . SpeechGrpc (com.google.cloud.speech.v1.SpeechGrpc)不在我的包裹里!(com.google.cloud.speech.v1)。我必须从这里安装它?
3 .我使用密钥对语音API (ManagedChannel
浏览 3提问于2017-11-19得票数 0
我处理的API不是我控制的,它以JSON格式返回错误响应,但在这种情况下不返回非200响应代码。在使用Retrofit时,是否仍有可能在失败回调中获得任何错误(由" error“属性的存在确定)?通过查看消息内容,可以安全地假设我可以识别来自该API的错误响应。
浏览 9提问于2014-06-04得票数 1
回答已采纳
我们有一个生产问题,订单被提交了两次。目前,我们有一个用于订单的API,我们正在使用API管理将其公开给客户端,在这些API中,我们有面向客户的URL映射策略。
现在,我们的实际API收到了2个请求,所以我们认为客户提交了两次,但他们已经确认他们没有提交两次,所以可能是API管理有问题,它触发了2个请求。
如何识别API管理层收到的请求?有没有可能API管理层会触发该请求两次?
感谢您的指点
浏览 1提问于2017-06-13得票数 0
1回答
API通信
、、
我可能对微服务沟通有一些误解,我需要有人向我澄清这一点。
假设我们有一个nodeJs微服务应用程序,我们有一个API网关来处理来自客户端的传入请求。
现在,假设两个客户机同时向API发送一个请求,而API将其转发给正确的服务。
服务如何同时处理两个请求?
现在让我们假设这个服务以某种方式同时响应两个请求,我们如何识别每个对正确客户端的响应?
如何处理API GW??接收的大量请求?
我希望我的问题是清楚的。
浏览 3提问于2022-08-24得票数 1
1回答
我和一个朋友正在构建一个带有web前端的API。web通过Ajax请求利用API与后端进行交互。我们希望为没有使用网站的人提供对API的有限访问(您必须支付费用才能使用API),但网站上的任何人都可以完全无限制地访问。
现在的问题是:我们正在努力识别哪个API调用来自哪里。由于网站使用JavaScript进行呼叫,因此请求似乎来自用户的IP。我们考虑过对每个调用使用唯一令牌或对调用进行签名,但JavaScript会公开这两种情况下使用的方法和键。
我们强调安全性,所以我们正在寻找一个健壮的解决方案。
提前感谢!
浏览 11提问于2020-03-11得票数 0
回答已采纳
假设我有一个用IdenityServer3保护的网站。它使用隐式流,因此要求用户提供凭据。现在,我面临一个要求,即此应用程序应该代表用户访问多个(Web)API。这些API是使用角色保护的。
我该怎么做呢?我是否可以通过在OpenIdConnectAuthenticationOptions的ResponseType中添加“access_token”来获得所有人的令牌?我是否必须更改隐式流(到混合?)并手动为每个单独的应用程序接口请求access_tokens,并在身份验证后将其添加到用户的声明中?
我不确定该如何处理这个问题。任何帮助都将不胜感激。
浏览 4提问于2017-06-28得票数 0
1回答
我正在开发一个项目,它的服务器端在Google上与Java运行时一起实现。它的一个特性是我使用Channel API实现的通知服务。
基本功能已经实现并运行良好,但我不知道如何处理所有可能的错误场景。通过读取,有两种可能的错误:Token+timed+out.和Invalid+token.,我已经很好地处理了goog.appengine.Channel方法返回的goog.appengine.Socket对象的onerror回调。
但是,通过读取,Channel有4种类型的配额可以超出。由于JavaScript和JavaScript的引用都没有提到如何处理这些错误,所以我想知道是否有人知道我如何
浏览 3提问于2016-04-04得票数 0
回答已采纳
为了学习Node,我目前正在使用Petfinder的api来构建一个附带项目。
问题是Petfinder的api有时会返回特定字段的空对象,我可能希望在页面上显示这些字段。到目前为止,我一直在检查是否存在像这样的非空对象来生成HTML:
<img class="pet-image" src="${Object.keys(pet.media).length !== 0 ? pet.media.photos.photo[3].$t : ""}">
但是这段代码很难看,我知道不应该在这里完成。另外,对于API响应中的非必需字段,总是必须这样
浏览 1提问于2018-07-22得票数 0
回答已采纳
我有一个通过Azure管理公开的Azure应用服务上运行的API。是否有一种方法可以判断是否有任何请求直接访问应用程序服务URL而不通过API管理服务?
浏览 1提问于2020-11-12得票数 0
回答已采纳
3回答
我们是密码学的业余爱好者。我们必须在Java中实现与椭圆曲线密码学相关的不同算法。到目前为止,我们已经能够从维基百科的椭圆曲线密码学页面中识别出一些关键算法,如ECDH、ECIES、ECDSA、ECMQV。
现在,我们无法理解如何从何处开始实现这些算法。另外,Java是否已经在其体系结构中提供了这些算法?或者我们必须使用像BouncyCastle这样的API (我们在这个站点上看到了它)?或者我们可以使用标准代码单独实现这些算法吗?任何帮助都将不胜感激!
浏览 4提问于2012-06-20得票数 7
回答已采纳
1回答
是否有可能(以及如何)从网络转储中判断是否存在缓冲区溢出攻击、DoS攻击或暴力攻击?一个DDoS可能更容易识别,但我认为上面提到的那些攻击看起来更像是正常的活动。
很抱歉我的新手问题,你的回答会有很大帮助。任何有关如何从网络转储中识别这些攻击的信息都将不胜感激。
浏览 0提问于2014-08-11得票数 0
回答已采纳
我正在开发一个具有语音识别功能的iOS应用程序。我找到了将Google Web Speech API用于语音识别和文本到语音转换的方法。它工作得很好。我想知道在iOS应用程序中使用Google Web Speech API是否合法?另外,此API是否有使用限制?我试图找到它的任何服务条款,但找不到任何条款。
浏览 0提问于2013-07-25得票数 3
1回答
如何使用Lambda验证认知标识
、、、、
我有一个ios应用程序来设置我的AWSCognitoCredentials和我的实体池。身份识别可以很好地归还。
现在,我想使用该认知体并将其作为帖子发送到我的网关api函数,以验证这是否是我访问api函数的identityPool/ verify。我将为每个api函数设置一个自定义授权程序。如何使用lambda node.js来验证我传入的认知id是否有效?
浏览 2提问于2016-08-15得票数 0
回答已采纳
1回答
在请求不起作用时使用代理
、、、、
我正在尝试抓取一个网站,我正在使用python中的Tor模块来生成代理,然后使用requests模块抓取网站。但是,带有代理的请求模块由网站识别,并返回一个api页面(带有显示一些api信息的消息的html)。但是,当我使用没有代理的请求(使用我的原始ip地址)时,我得到了正确的响应。我的问题是:为什么网站如何正确识别来自代理的呼叫必须被阻止,并且来自原始ip (我当前的ip)必须被接受。
import requests
from stem import Signal
from stem.control import Controller
def renew_connection():
浏览 7提问于2017-12-23得票数 0
2回答
我正在开发Flutter应用程序,它使用API从服务器获取数据。flutter应用程序是公开的,任何人都可以在不登录应用程序的情况下使用。一切都运行得很好。 我的问题是:有没有办法确定API请求来自哪里?因为任何人都可以使用此API获取数据,这可能会导致服务器泛滥。 如果可以找出请求来自何处,那么我可以处理仅来自我的Flutter应用程序的请求。 有可能吗?
浏览 63提问于2020-07-28得票数 0
我已经创建了一个使用wordpress来处理前端的网站,也创建了一个nodejs服务器,它可以在后端完成一些任务。
我现在面临这个问题,我希望只有wordpress服务器中经过身份验证的管理用户能够访问节点后端api的一些特定端点。
因此,假设我创建了一个wordpress页面,该页面的表单向管理端点( /api/admin )发出了对nodejs的POST请求。
I应该使页面只能从管理员访问,这很容易由wordpress设置完成,我必须在nodejs服务器上添加一些功能,检查请求是否直接来自wordpress管理,以避免例如有人通过邮递员发送帖子请求。
事实上,我试着去看wp,但是我没有发现
浏览 4提问于2020-10-06得票数 0
我知道在android中使用Async Task或service以及使用okhttp库处理请求的基本方法。但我要做一个复杂的生产质量应用程序,所以我想知道有经验的人如何处理android的http请求。
1-是否有任何通用的方法来进行http调用,而不是为每个请求定义Async Task and all its method?
2-有什么简单的方法来创建单个类/函数,我只需调用和传递url参数,并从任何活动或代码中的任何点获得响应。
3.我正在考虑使用Realm,以便直接将请求数据放入数据库,然后使用RealmChangeListener进行活动。这是一个更好的方法吗?
浏览 2提问于2020-12-23得票数 0
4回答
我开发了一个API来获取所有的数据。
该网站没有用户注册系统或任何东西来识别调用API的用户。如果我能够识别调用的用户,每当有人滥用或攻击API时,我甚至可以禁止他的IP。
我正在考虑基于用户IP或MAC地址生成一个API密钥,但这样做安全吗?还有其他建议吗?
浏览 7提问于2013-10-19得票数 1
回答已采纳
如何处理用户“喜欢”RESTful API中的帖子或对象,使他们只喜欢它一次?您是否创建了多到多个关系,并创建了一个端点来检查用户是否喜欢所加载的每个对象的对象?这似乎非常要求密集,我想知道是否有一个更好的,既定的解决方案?
浏览 0提问于2015-12-26得票数 3
回答已采纳
下面是一个场景:我是QA工程师,我们的产品是基于网络的。我们有一些测试网站的自动化脚本,它们将与后端API交互。我们希望当网站中的某些操作调用一些后端API时,不会调用真正的API,但它会进入模拟服务器并返回伪造的数据。我知道目前在开发人员的代码中没有模拟。我想配置一个模拟服务器,它将拦截请求并实际返回一些预定义的数据。
对于此场景是否有任何建议或成熟的开放源码模拟服务器,以及应在何处配置模拟服务器?
浏览 0提问于2018-05-11得票数 0
2回答
场景:假设我有一个公开在公共IP+port上的RESTful http(s) API,现在我想做一个简单的前端,它与这个API交互。
Constraint:我希望使用GitHub页面来服务前端,并且我希望将存储库公开。
问题:是否有一种方法来设计API,以便只有来自gh页面网站的调用才能成功?也就是说,如果有人要分叉存储库并运行他们自己版本的前端,API会注意到调用不是来自“官方”gh页面站点吗?我真的很想知道,在API调用中是否有什么可以证明调用方是从某个特定的、预定的位置调用的。
如果前端可以私下托管,我可以在这两台服务器上存储一个共享秘密,并使用它进行身份验证,但理想情况下,我希望能够通
浏览 1提问于2019-04-11得票数 0
回答已采纳
我读过关于API键和JWT的多个页面/博客文章,但我仍然很困惑何时使用其中之一。最近有人说,JWT已成为API身份验证的标准,但在下面所述的几种情况下,JWT对我来说变得令人困惑。
JWT“not”的选择适用于任何需要对用户进行身份验证的UI应用程序,以及任何需要在API上授权的API调用,而不仅仅是身份验证。
然后,语音出现了API,它只需要身份验证,不需要识别单个用户。在这种情况下,JWT看起来是过火了。
另一方面,当API (直接调用,没有UI)使用JWT而不是“静态”并且需要为它生成刷新令牌时,它是什么样子的呢?一般来说,API应该如何处理它?每一次请求都应该这样做吗?
浏览 0提问于2020-12-01得票数 10
回答已采纳
我已经浏览了一段时间,发现没有任何方法允许我将自定义POST参数传递到签名端点。
我之所以这样做是因为我想构建一个通用的服务器端API,它允许所有类型的客户端上传。FineUploader就是其中之一。
为了使服务器端API能够识别调用客户端的类型,我需要知道“哪个上传器”称为我的API。
我想知道是否有一种为签名端点添加自定义参数的方法。
(顺便说一句,我注意到我可以传递自定义参数以获得成功并删除端点)
提前感谢您的帮助!
干杯,托马斯
浏览 1提问于2015-02-24得票数 1
回答已采纳
2回答
为了确保REST仅由已知的使用者访问,客户端应用程序使用秘密对每个HTTP请求进行签名,然后使用API密钥将结果的签名发送到服务器。
对于JavaScript客户端,API密钥和秘密在脚本本身中被硬编码.那么,这种机制如何确保发送请求的客户端实际上是它应该是的客户机呢?我之所以问这个问题,是因为如果机密是硬编码在JavaScript中的,那么每个人都可以查看它,窃取机密,并将其用于其他应用程序。
是否有更安全的方法向消费者公开API?我知道Stackoverflow中还有其他关于这个话题的文章..。但我不清楚的是如何处理消费者授权和用户授权。在我的例子中,使用者授权决定是否允许第三方访问我的A
浏览 2提问于2014-08-05得票数 2
回答已采纳
我试图在Python中编写一个简单的"Siri“类程序,它将在关键字被说出来后接受语音命令,并执行一些响应。
我想知道我是否可以使用谷歌的网络语音Javascript API来实现这个功能。
我读到语音识别有60秒的限制,所以我计划使用PocketSphinx进行关键字检测,并让javascript Google语音响应它来处理语音识别的其余部分。
由于我在Web开发和Javascript方面有0的经验,所以我想知道是否可以在非浏览器环境中使用Web语音API。也就是说,我希望能够只在客户端上运行代码,以响应被调用的Python方法进行语音识别,并接收语音识别的输出。
据我所知,这意味
浏览 7提问于2014-06-02得票数 2
回答已采纳
4回答
让我们假设有一个客户机/服务器交互发生在不可靠的网络(数据包丢弃)上。客户端正在调用服务器的RESTful api (通过):
向发布一篇文章
服务器正在创建“产品”资源的对象(将其保存到数据库等)
服务器返回使用"“位置标头创建的201
好了!包含http响应的TCP数据包被丢弃,最终导致tcp连接重置。
我看到了以下问题:客户机将永远不会获得新创建的资源的ID,但是服务器将创建一个资源。
问题:这是应用程序级别的行为,还是应该由框架来处理?web框架(尤其是Rails )应该如何处理这种情况?是否有任何文章/白皮书休息为这个主题?
浏览 11提问于2011-02-15得票数 11
回答已采纳
1回答
我想开发一个由第三方使用的API --在这里,我们对第三方将如何使用API没有太多的控制。通过公共文档交流使用API的正确方式并不能保证正确的API使用。
是否有任何技术或设计模式迫使API使用者按预期使用API方法?
下面是一个API的两个使用示例,它有一个方法来发布状态:
使用#1使用者可以通过向该方法传递一个字符串数组,在一个调用中推特多个状态。这是API设计器的预期用途。
使用#2使用者仍在time上发布多个状态,但一次只发布一种状态,最后调用tweet方法十次。这不是预期的用途,可能会导致性能问题。
我正在寻找一个解决方案来强制/防止这种API的使用。
包装/交付为j
浏览 3提问于2014-06-16得票数 0
目前,我正在尝试检索所有用户的联系信息,以及检索他们唯一的用户ID。
我们的应用程序需要利用一个用户谷歌联系人和用户将登录使用谷歌。因此,我们需要一些方法来识别每个唯一的用户(最有可能是由google提供的唯一用户id )
只有使用google contacts API才能做到这一点吗?
我检索访问令牌的初始调用是:
"“
但是,我不相信从该调用返回的访问令牌具有任何关于用户ID的信息,并且也不提供从Google+ Api检索用户ID的权限。
有没有什么办法可以从google contacts API中获得唯一的用户ID?有获取用户联系人的用户id的示例,但我需要获取实际的用户ID (
浏览 1提问于2013-06-28得票数 2
1回答
我正在构建一个提供一些数据的私有API,我已经将CORS设置为只允许来自我的网站的请求,这是可行的,但是有一个问题:用户可以使用铬控制台从我的网站向API发出请求,并且该请求将成功,因为API没有真正的方法来判断请求是否来自我编写的代码。所以我的问题是:有什么办法可以说吗?有没有办法阻止用户从我的网站上请求调用API并绕过CORS?
浏览 3提问于2022-03-26得票数 0
2回答
this.store.findAll('game').then(function(results){
// RUN SOME OPERATION ON THEM
})
我想知道如何处理结果变量。我知道我能做到
results.get('firstObject') // returns the first object.
我想知道我能用它做的一切。是否有结果集合的api文档?
谢谢!
浏览 7提问于2017-01-18得票数 4
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
