Validar el dominio del llamador API (o cualquier otra solución relacionada)

Navega tus respuestas
-1

Soy bastante nuevo en la creación de servicios usando PHP-cURL. Quiero ofrecer algunos datos / servicios solo a los dominios registrados. Sé que puedo identificar estos dominios mediante el ID de la aplicación y las claves API para el cifrado de datos.

Sin embargo, estaba pensando en diferentes tipos de amenazas. ¿Qué sucede si algunos de mis clientes otorgan sus credenciales a otro dominio? ¿Cómo puedo validar el dominio del llamante (o cualquier otra solución) para que las credenciales solo sean utilizadas por ese dominio? Realmente intenté detectar el nombre de dominio exacto que está llamando a mi servicio, pero siempre falla, porque cualquiera puede establecer un nombre de dominio falso en el encabezado. Estaba pensando en usar IP, pero esa sería una solución realmente compleja.

Además, no quiero limitar las llamadas. Solo quiero estar seguro de qué dominio estoy dando datos.

    
pregunta jaydip sinh Parmar 14.08.2015 - 08:48
fuente

2 respuestas

0

Me acercaría a esto de 2 maneras:

  1. Disuasión : aclare a sus clientes que esto es ilegal y asegúrese de que sea ilegal, es decir, el contrato que firman con usted los obliga a no publicar o distribuir sus credenciales.

  2. Mitigación : puede implementar el servicio de manera que el cliente solicite algo y su servidor devuelva inmediatamente una respuesta 200, cierre la comunicación y luego sea su servidor el que inicie Una solicitud al cliente enviando la información solicitada anteriormente. De esta manera usted valida su solicitud contra sus registros de servidores válidos. No es infalible, pero hace que sea más difícil para ellos compartir sus credenciales.

respondido por el Purefan 14.08.2015 - 11:31
fuente
0

Una posibilidad sería utilizar la información de DNS inversa basada en la dirección IP de conexión.

Esto está lejos de ser una bala de plata, ya que el DNS inverso suele ser personalizable. También puede ampliar el sistema y agregar un paso de validación mediante correo electrónico. Cuando detecta una nueva IP para un dominio conocido, solicita una validación obligatoria por parte del propietario del dominio. Sin embargo, esto sería un problema si su cliente utiliza direcciones IP que cambian con frecuencia.

Tener una cuota en las solicitudes es un buen incentivo para que los clientes no compartan sus credenciales, corren el riesgo de ser bloqueados y esto es malo para sus propios servicios, incluso si la cuota es alta.

    
respondido por el M'vy 14.08.2015 - 15:17
fuente

Lea otras preguntas en las etiquetas

Integrar el cliente POS con HSM Luna ¿Qué algoritmo de cifrado utiliza CryptEncrypt en Crypto API?