php - 私有(private)身份验证算法 - 网络安全

Question

我正在开发一个从文本(TTS)生成音频并为用户提供速度/音高控制的播放器的项目。
我的问题与请求安全有关。
用户在我的网站注册时获得了 widget_id，他放了一些 js在他的网站上，而 api 在他的网站上工作。当用户点击发送按钮时，api.js 文件发送ajax POST使用 widget_id 向我的网站请求数据也是如此。然后在我这边我得到了widget_id和推荐人:$referer = isset($_SERVER["HTTP_REFERER"]) ? $_SERVER["HTTP_REFERER"] : '';我正在获取与 widget_id 相关的站点值从我的数据库中，并将其与 $referer 进行比较.
...
if($website_url == $referer) {
$website_checked = true;
}
...所以我的问题是:使用某些库(可能是 Curl)的攻击者可以更改 $_SERVER["HTTP_REFERER"]值(value)，并打破了我的安全？
例如，如果他使用 curl 和代码:curl_setopt($ch, CURLOPT_REFERER, 'https://anysite.io/');谢谢。
所以我更新了问题的原因，因为我认为这是不可信的。所以请私有(private)认证算法的基本步骤......
Update3:所以我开始了赏金，因为我需要了解我的场景中的私有(private)身份验证算法。

Answer 1

保护 Js

当客户端浏览器尝试访问 js 库时，您的服务器应该能够保存客户端信息，例如完整的浏览器名称、操作系统、IP、设备等。服务器应该为该客户端生成一个唯一 ID

您的 Js 应该根据生成的唯一 ID 在客户端浏览器中设置 cookie

当用户单击发送按钮时，从 cookie 传递唯一 ID。在服务器端，使用服务器上可用的详细信息与唯一 ID 验证客户端详细信息。这是为了确保 POST 请求来自请求 JS 文件的客户端。不初始化JS文件直接调用POST API的限制

验证 POST 请求

添加 token 到期日期

始终检查唯一 ID 生成时间和发送按钮点击时间，并根据它阻止可疑的 API 调用。 (例如，ID 生成和发送按钮单击/在服务器上获取 POST 请求之间的时间太短)

服务器收到 POST 调用后销毁/禁用唯一 key

监控您从中接收请求的 IP。这将帮助您识别机器人并禁用对它们的服务器请求。一个小程序将完成您的工作。