通过 JavaScript SDK 进行 API 身份验证

Question

我正在为我们的 API 构建一个 JavaScript SDK。 API 当前需要（2 条腿）OAuth 身份验证。显然这不适合 JS SDK，因为密钥和秘密在普通站点中（在 JS 代码中）。

Facebook 仅在您初始化他们的 JS SDK 时需要您的应用程序 ID，所以我想实现类似（或类似简单性）的东西。当开发人员请求密钥时，我们需要他们的应用程序域。我正在考虑检测提交域的 IP 地址（例如 myclientapp.com 有 192.168.0.0 IP）。然后通过确认远程主机 IP 地址匹配来验证 JavaScript 请求。

这是最好/最简单的方法吗？

更新：Rup 指出远程 IP 将是客户端，因此与应用程序 URL 的 IP 不匹配。所以就这样了。所以重申一下，我正在寻找一种解决方案，允许我在我的 JavaScript sdk 中为我的 API 强制执行某种形式的身份验证，这种身份验证不能被其他人欺骗（试图成为其他人的应用程序）。

谢谢，

加文

Answer 1

改为对用户进行身份验证。

将（声称但不可信）应用程序 ID 传递到您的 init()，jsonp 到您的域，然后：

• 如果用户已登录*并已授权该应用，则返回有效的用于发出 API 请求的代码。
• 弹出一个窗口到您的网站（或重定向，或其他），让用户登录（如果需要）并授权应用程序。

您将在身份验证期间控制用户体验，并且可以对应用 ID 进行一些人工验证（显示声明的徽标、名称等）。

这确实假设您甚至拥有用户的概念，就像 Facebook 一样。

_{*检查cookies，并非所有浏览器都接受它们以响应ajax请求；但所有浏览器都会发送它们。}