仅允许某些客户端进行 AJAX 请求

Question

我有一个 AJAX 密集型 Web 应用程序，其中的请求不安全，这意味着没有客户端标识。我不检查是否是我的应用程序在服务器上发出请求。

最近我发现有人使用我的 ajax 请求 URL 创建了一个模仿我的 Web 应用程序的 iPhone 应用程序。我添加了一个过滤器，通过查看用户代理字符串来丢弃来自 iPhone 的请求。这绝对是一个临时解决方案。

我如何确保请求源自我的应用程序，而不是阻止某些用户代理？如果我添加更多服务，例如 FB 应用程序、Google Gadget 等，我希望这些服务也能发出请求。

问题是我如何确保请求源自我的应用程序并丢弃其他所有内容。

Answer 1

您永远无法确定这是否是您的应用程序，因为您的应用程序发送到服务器的所有内容也可以由任何其他应用程序发送。但是，您可以让您的服务变得更难以通过您的应用程序使用。您可以将一些密钥作为参数或 URL 的一部分发送，这些密钥会经常更改，并且必须包含在您自己的脚本中。这将使其他应用程序的查找和使用变得非常简单，但如果这是每小时都在变化的东西，那么至少不可能编写一个始终有效的简单 AJAX 请求，而不获取脚本、解析它并找到密钥，在这种情况下，至少没有人会假装相信您的服务对所有人公开可用。这几乎是你能做的一切，让它变得更加困难和烦人。你永远无法让它变得不可能，但足够困难可能就足够了。

Answer 2

哎呀，我会在这里走一条完全不同的路线。

告诉 iPhone 应用程序的创建者，您很乐意让他们继续付费使用您的服务。选择每次安装 0.50 美元左右的价格。这样他们就可以在商店中以 0.99 美元的价格出售该应用程序；让苹果公司获得 30% 的折扣，你也能从这笔交易中得到一点好处。

如果有人不厌其烦地构建了该应用程序，您也可以利用它！

Answer 3

您可以使用随响应一起发送的特殊令牌，您将在 AJAX 调用中查找该令牌。这将确保调用者必须首先加载您的网页。然而，这仍然不能保证用户不是来自 iPhone 应用程序。该应用程序可以简单地处理相同的信息并充当代理，并且无法根据 HTTP 请求来判断这一点。

您的网站是否定义了任何使用条款？如果确实如此，您应该做的第一件事是联系Apple并告诉他们该应用程序违反了您的使用条款，并且您希望下架该应用程序。如果没有，您应该写一些使用条款，并联系应用程序的作者，通知他们更改，并要求他们下架该应用程序，或达成一些其他条款。如果这一切都失败了，最好的办法就是让直接使用 AJAX 调用变得更加困难。诸如混淆和最小化 JS（以及将服务器端函数重命名为不那么好命名）之类的简单事情将提高抓取数据的门槛。

Answer 4

这将很困难，因为在某些时候您的服务器和应用程序需要共享秘密。该秘密将随应用程序一起分发，并可供逆向工程师使用。现在，您可以向每个表单添加 CRSF 令牌（请参阅此 wiki）。分发应用程序然后将其明确识别为您的应用程序是一个尚未解决的问题。

Answer 5

我不知道请求的性质，但如果用户需要进行身份验证，那么您每次都需要在服务器上执行此操作。正如 Zed 指出的那样，这不会阻止其他开发人员调用您的 API。我同意你可以让它变得更加困难，所以这基本上是一场军备竞赛，具体取决于阻止这个第三方应用程序运行的重要性。