javascript - PHP 驱动的 API 如何验证真正的客户端(引用者)跨域(知道 header 可以被欺骗)？

Question

使用 PHP，您如何根据以下条件安全地验证API 调用、跨域:

1. 必须从给定的 domain.com/page(没有其他域)调用
2. 必须有给定的 key

一些背景:请在回答之前仔细阅读...

我的网络应用程序将通过如下所示的调用在客户的网站上显示一个 javascript 小部件。因此，我们正在讨论要提供的脚本的跨域身份验证，但仅限于真正的客户端和给定的 URL!

目前可以通过单行 javascript 将小部件包含在客户的网站中。

示例 client-website.com/page/with/my-widget

<head>
...
<script src="//ws.my-webappserver.com/little-widget/?key=api_key"></script>
...
</head>

现在，实际上这并没有直接调用 javascript，而是我的远程服务器上的一个 PHP 脚本，它位于实际 javascript 的前面，目的是进行一些身份验证。

上述调用背后的 PHP 脚本首先执行此操作:

1. 检查 API key ($_REQUEST["key"]) 是否与数据库中的用户记录匹配。
2. 对照数据库中的记录检查引荐来源网址 ($_SERVER['HTTP_REFERER'])***。

这是简化的，但本质上服务器看起来像:

if ($_SERVER['HTTP_REFERER'] !== "http://client-website.com/page/with/my-widget")
  && $_REQUEST["Key"] == "the_long_api_key") {
    header("Content-type: application/x-javascript");
    echo file_get_contents($thewidgetJS_in_secret_location_on_server);
} else {
  //pretend to be a 404 page not found or some funky thing like that
}

***小部件只允许在某些网站/页面上运行

问题来了:

1. key 在客户端，因此任何人都可以查看源代码并获取 key
2. 引荐来源可以被欺骗(例如通过 cURL)

还有一个小问题:我不能告诉客户将 key 粘贴在他们服务器上的 php 脚本中，因为他们可以运行任何服务器端语言!

那么我怎样才能使我的 Web 服务安全并且只能由给定的域/页面访问？

非常感谢任何帮助!

ps:这个小部件会上传一些东西到一种投递箱 - 所以安全是这里的关键!

Answer 1

我建议使用白名单方法来解决这个问题，我不完全确定这会解决问题，但是我对支付处理器使用了类似的技术，需要您将服务器 ip 列入白名单。