【问题标题】:JSON Web token(JWT) as API key in analytics serviceJSON Web 令牌 (JWT) 作为分析服务中的 API 密钥
【发布时间】:2015-02-25 07:21:54
【问题描述】:
我们正在运行网络分析服务。在服务内创建的每个应用程序都提供了脚本和API key 以收集指标。用户必须将脚本复制到他们的 HTML 中才能监控站点。 API key 是公开的,任何人都可以从 HTML 代码中看到它。因此,任何人都可以使用 API 密钥发送虚假数据。
我们听说 JSON Web 令牌 (JWT) 是替换会话 cookie 的更好方法。 JWT 能解决这个问题吗?
【问题讨论】:
标签:
json
session
server
api-key
jwt
【解决方案1】:
根据定义,这样的代码 sn-p 必须在 HTML 代码中。从这个意义上说,使用 API 密钥或 JWT 令牌没有区别。两者都可以阅读和使用。
但是您可以在 JWT 令牌中嵌入过期时间。这样,从 html 页面复制/粘贴的 JWT 令牌只能在相对较短的时间内使用。
它不会阻止确定的人插入虚假数据,因为他们可以编写脚本通过定期下载 html 页面来读取“新鲜”的 JWT 令牌。
所以:这只是一点点帮助。