0
イメージを返す有料のwebservice-endpointを持つSaaSを実行します。SaaS Webserviceブラウザ統合:顧客ApiKeyを保護し、Webページにリクエストを埋め込ませる方法
エンドポイントは、この形式は次のとおりです。http://[SaaSWebsite]/API/[APIKEY]/[RequestDetails]
私の顧客の中には、そう、彼らのウェブサイトのHTMLに直接サービスを統合したいですユーザーのページにアクセスすると、ユーザーのブラウザがWebサービスエンドポイントに直接アクセスします。例えば、私の顧客のウェブページのようなものかもしれません
:悪のユーザーがsuperSecretApiKeyを抽出し、私のSaaSと私の本当の顧客を使用することができ
<html>
<body>
Hello User, your important pic is:
<img src="http://mysaaswebsite.com/api/superSecretApiKey/user-request-details">
<body>
</html>
は、その使用のために課金されます。
私は顧客のApiKey(課金に使用されている)をエンドユーザーに開示することなくこれを許可することはできますか?
referer HTTPヘッダーを使用して顧客のWebサイトへのアクセスを制限することを考えていましたが、自分自身のリクエストコードを書き込んだ邪悪なユーザーでもなりすますことができます。