从客户端上传文件到网络上而不泄露 API 密钥

Question

例如，我正在尝试将文件从 Web 应用程序上传到外部源（例如 scribd）。要上传文件，我还需要发送 API 密钥。但是，如果我从客户端发送 API 密钥，它将向在客户端搜索它的用户显示。

如何使用我不想向用户透露的 API 密钥从客户端上传？将其上传到我的服务器然后再上传到外部源似乎是多余的。

Answer 1

尽管通过服务器可能是多余的，但这是唯一的方法。您无法在客户端使用密钥并向客户端隐藏它，如果您不使用 HTTPS，它也很容易被拦截。附带说明一下，我不了解 Scribd，但通常窃取 API 密钥并不是很有用，因此您可能只能忍受“风险”。

编辑：
显然，Scribd 提供了一种提供加密请求的方法，这样它们就无法推断出您的 API 密钥（当然，您必须远程生成这些请求并将它们发送到客户端）。请参阅http://www.scribd.com/developers/api?method_name=Signing