我正在使用nodejs编写一个图片上传服务。付费客户将能够将图像文件发送到我在服务器上设置的端点。但是,当每个请求进来时,我需要确认它实际上是一个付费客户发出请求。我想过让客户给我他们的域名,我会检查引用标题。但是,有人可以轻松地欺骗引荐来源标头并使用我的服务而无需付费。 SaaS 开发人员如何面对这个技术问题?是否可以在不要求我的客户拥有一些服务器端代码的情况下解决此问题?
【问题讨论】:
标签: javascript http node.js cross-domain
您无法使用引用标头对浏览器进行身份验证。
如果您想对个人进行身份验证,那么您可能需要一个登录系统,他们向(用户名/密码)提供凭据,并根据您允许的用户群检查这些凭据。如果他们通过了,那么您在浏览器中设置了某种类型的 cookie,表明他们是合法用户。该用户的后续请求将包含该 cookie,您可以检查每个请求。
cookie 必须是您创建的、您可以验证且不易被猜测或伪造的东西(例如会话或来自您服务器的加密令牌)。您通常会在一段时间后对 cookie 设置过期时间,以便用户必须再次登录。
【讨论】:
您是在为网站构建外部图像托管服务,还是要共享 必须 私密且 安全 的内容?如果是前者,请继续阅读。
当然,标题可以被欺骗。这就是您不必担心的原因:
替代方案是丑陋的:要构建安全的供应服务,您必须开发某种令牌系统,网站所有者也在他的最后实施。很有可能,他不会和你签约,因为有更简单的选择。
必须在客户端进行欺骗。很少有“用户”会真正做到这一点。两个极客在他们自己的机器上欺骗标题不会对你有很大的影响。如果他们编写了一些代理或中间件来自动完成这项工作并且许多人开始使用它,那么这可能是一个问题。然而,这不太可能。
猜你已经知道了,但由于你没有提到 - 它被称为Hotlinking。谷歌此主题以查找更多资源。
【讨论】: