Restricción de clave API basada en URL: ¿Cómo funciona la validación?

Question

Me interesa saber cómo funciona una restricción de clave de API basada en URL, como la utilizada por Google para proteger su servicio Google Maps.

Por lo que entiendo de este artículo " Restricción del acceso a Ajax Servicios , " Hay dos partes involucradas: primero, donde el servicio crea una clave específica para un dominio dado, utilizando una función hash unidireccional; y segundo, donde el servicio valida la clave en función del encabezado Referer.

Si bien el artículo es bastante explicativo, todavía tengo un problema para tratar de entender qué tan seguro es el método de validación. Quiero decir, si la clave se comprueba solo contra el árbitro, ¿no es esto fácil de falsificar? Estoy pensando que un simple "127.0.0.1 www.midominio.com" en el archivo hosts será suficiente para engañar a la validación, y pensar que el referente es www.midominio.com.

Podría haber entendido mal algunas cosas y se agradecerán algunas aclaraciones.

Answer 1

Las "Limitaciones" La sección del artículo que usted cita menciona específicamente la posibilidad de falsificar el referente.

Cambiar el archivo host puede ser suficiente para falsificar su referencia, pero solo cuando accede al sitio desde su propia computadora . Eso significa que puede abusar de la licencia solo cuando realice pruebas localmente. Eso no es un abuso muy interesante.

Para publicar su aplicación, necesitaría falsificar el referente en los navegadores todos , a menos que esté utilizando la API desde un ejecutable ejecutado localmente, en cuyo caso probablemente esté en control total de todos los encabezados.