我對于RESTful Web API/Oauth有最基本的認識和設(shè)計經(jīng)歷。在現(xiàn)在網(wǎng)站設(shè)計中�����,除了RESTful API�,還會同時存在AJAX/JSONP接口,很大程度上和RESTful Web API暴露的是同樣的資源����。
如果RESTful API使用apikey/apisecret/token方式來實現(xiàn)認證和授權(quán),那么運行在瀏覽器的AJAX/JSONP的認證方式也應(yīng)該有對應(yīng)的認證和授權(quán)�����,而不是像大多數(shù)演示代碼。
在瀏覽器的"Web開發(fā)者|Web控制臺"���,我們可以看到網(wǎng)頁前端發(fā)出的ajax訪問:
響應(yīng)頭:
Content-Length 14
Content-Type application/json
Date Sun, 04 Mar 2018 08:06:07 GMT
Server Werkzeug/0.11.4 Python/2.7.3
請求頭:
Accept application/json, text/javascript, */*
Accept-Encoding gzip, deflate
Accept-Language zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Cache-Control no-cache
Connection keep-alive
Content-Type application/x-www-form-urlencoded
Cookie lang="emhfQ04=|1519946885|0cff…c9181d85ecd7d7cdfaffb1e17537"
Host 123.57.211.188:5000
Pragma no-cache
Referer http://123.57.211.188:5000/
User-Agent Mozilla/5.0 (Windows NT 10.0; …) Gecko/20100101 Firefox/58.0
X-Requested-With XMLHttpRequest
這里host/referer/X-Requested-With是瀏覽器(用戶代理)發(fā)出的請求�,但是網(wǎng)絡(luò)爬蟲也同樣模擬這些請求頭信息�,所以沒有合適的認證授權(quán)方式,很容易被抓取數(shù)據(jù)��。
如果ajax請求在TLS之上����,通過cookie/session組合,可以實現(xiàn)和普通Web服務(wù)一樣的認證授權(quán)�����。提這個問題���,主要是想要了解AJAX/JSONP/RESTful三種接口在安全性相關(guān)設(shè)計中差異��。
