在纯客户端(前端页面)使用一些服务的 API 时,如何保护私钥或者防止滥用?
想要做一个 Chrome 的翻译扩展,使用有道的服务,之前是抓取的页面,但并不稳定,所以想使用有道的付费服务,但是如果不做服务端而纯在前端调用有道 API 的话,如果保护自己的私钥呢?
之前想过的方案,但都有不满意的地方。
- 在服务端做一层 API 代理,这样就既保护了私钥,还能对恶意调用有一定的限制能力,但是,这样就必须把用户的数据 post 到服务器,而且自己的服务器不见得有多稳定。
- 仅有服务端提供一个生成签名的 API,签名通过md5(appKey+q+salt+应用密钥)生成(引用),但这样也必须把用户查询的数据 q 上传到服务器。
- 扩展中让用户配置自己的 api 和私钥,但这样对于非开发人员来说,太不友好了,还得自己去申请有道的 api
相关链接
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
只能第一种方式,想有道这种API本来就不是给前端调用的,不用第一种方式,跨域你就解决不了