URL-Basierte API-Key-Einschränkung:Wie funktioniert die Validierung funktioniert?

Question

Ich bin daran interessiert zu wissen, wie eine URL-basierte api-key-Einschränkung Werke, wie das eine von Google verwendet, um schützen Ihre Google Maps-Dienst.

Von dem, was ich verstehe aus diesem Artikel "Die Beschränkung des Zugangs zu Dienstleistungen Ajax"es sind zwei Teile, die beteiligt sind:erste, wo der service schafft eine spezielle Taste für eine bestimmte Domäne ist, mit einem one-way-hash-Funktion;und zweitens, wenn der Dienst überprüft den Schlüssel, basierend auf der Referer-header.

Während der Artikel ist ziemlich erklärend, habe ich noch ein problem haben, versuchen zu verstehen, wie sicher ist die Validierung der Methode.Ich meine, wenn der Schlüssel ist, nur geprüft gegen den referer, ist das nicht ganz einfach zu fälschen?Ich denke, dass ein einfaches "127.0.0.1 www.mydomain.com" in der hosts-Datei wird genug sein, um trick der Validierung, und denken, dass der referer ist www.mydomain.com .

Ich könnte falsch verstanden habe einige Dinge und ein paar Klarstellungen werden geschätzt.

Answer 1

Die "Grenzen" der Artikel, den Sie zitieren explizit die Möglichkeit erwähnt, die referrer-spoofing.

Ändern der host-Datei könnte in der Tat genug zu Schmieden und Ihre Partner, aber nur, wenn Sie auf die Website zugreifen von Ihrem eigenen computer aus.Das bedeutet, dass Sie missbrauchen kann die Lizenz nur dann, wenn die Prüfung vor Ort.Das ist nicht sehr interessant Missbrauch.

Um die Veröffentlichung der app, würden Sie brauchen, um spoof referrer-auf jeder Browser, es sei denn, Sie verwenden die API von einem lokal ausführbare Datei ausführen, in welchem Fall Sie wahrscheinlich die volle Kontrolle über alle Header.