Nano Hash - криптовалюты, майнинг, программирование

Как контролировать, кто использует мой веб-виджет

Я создал веб-виджет, который отображает информацию о пользователе с моего сайта. Этот виджет основан на сценарии Java (я использовал этот пример.) и могут быть встроены в другие сайты.

Я ищу способ контролировать, кто может вставлять виджет на свой сайт. Любые идеи/ссылки приветствуются.

ruby-on-rails widget ruby-on-rails-3 web-services
21.10.2012

  • Возможно, вы сможете использовать это 22.10.2012

Ответы:


1

Вместо того, чтобы напрямую обслуживать файл, вы можете попробовать использовать request.referer и только опционально отправить файл JavaScript (через действие контроллера) на основе списка утвержденных веб-хостов. Вы можете использовать send_file для удобной отправки JavaScript клиенту (установите параметры кэширования в заголовке HTTP, чтобы браузеры не запрашивали файл повторно). Однако реферер может быть подделан и не может быть отправлен в зависимости от конфигурации HTTPS => HTTP.

Вы также можете рассмотреть возможность запроса ключа API для вашего файла JavaScript (просто добавьте его как часть запроса файла JavaScript). Хотя это никоим образом не является надежным, оно значительно упрощает отслеживание использования. (И, используя журналы, вы можете обнаружить нелегальное использование).

21.10.2012
  • Подход с ключом API является хорошим по причинам, изложенным WPCoder. Хотя он виден и, следовательно, его легко украсть, это хорошее начало. Чтобы по-настоящему заблокировать его, существует множество методов, но стандартом в наши дни является OAuth; значительно более сложный, но безопасный, если это то, что вам действительно нужно. 21.10.2012
  • Я использую OAuth для API-части своей системы, но разве это не проблема на стороне клиента? Можете ли вы указать мне ссылку? 21.10.2012
  • @tharrison - я не понимаю, как вы будете использовать для этого OAuth? Это попытка предотвратить встраивание виджета javascript. 21.10.2012
  • Я не возражаю, если решение позволит встроить виджет и не позволит ему получить доступ к моему сайту, если я этого не хочу. Если это возможно с OAuth, не могли бы вы сообщить мне, как это сделать? 22.10.2012
  • Хотя этот документ предназначен для API Google, это общее решение OUath для приложений JS: Использование OUath2 для клиента Дополнительные приложения. Я думаю, что это, вероятно, излишне для вашего решения, но это вариант (я думаю!) 22.10.2012
  • Спасибо за ваш комментарий. Я читал о неявном потоке OAuth 2 и немного поиграл с ним. Мне удалось аутентифицировать пользователя и выполнять запросы, используя только код на стороне клиента. Однако я до сих пор не могу понять, как использовать его как часть решения для виджетов. Любые подсказки? 08.11.2012
  • К сожалению, REFERER присутствует не всегда (и его легко подделать для запросов на стороне сервера). 15.12.2012
  • Это может работать в некоторых сценариях. Вопрос был не очень подробный. :) Ключ API также будет работать, и его будет намного проще понять и реализовать для встраивания виджетов. Наиболее надежным решением может быть что-то на стороне сервера, на сервере хостинга, а не полностью на клиенте. (прокси). 16.12.2012

    • 2

    Вы должны использовать некоторые дополнительные приемы вместе с OAuth, чтобы точно идентифицировать клиента.

    Подробный ответ на этот вопрос дан в здесь.

    15.12.2012
  • Я действительно думаю, что ответ, который вы там приняли, небезопасен. Совсем не безопасно. Смотрите мои комментарии там. (Шаги из статьи, которую вы нашли в связанном вопросе, являются безопасными, на мой взгляд, и мы используем один и тот же трюк JavaScript. Жаль, что мой ответ здесь был удален здесь.) 15.12.2012
  • Спасибо за ваши ответы и комментарии. Я понятия не имею, почему ваш ответ был удален. Я еще не реализовал это, но я думаю, что ответ, на который я ссылался, вместе с сопутствующими комментариями ценен. Они дают довольно хорошее представление о том, как подойти к этому, вы не согласны? 15.12.2012
  • Я действительно чувствую, что статья, которую вы нашли, является ключевой для вашего решения, но я не думаю, что этот конкретный ответ что-то добавляет к этому. На самом деле, я чувствую, что ответ намного хуже, чем статья. (Этот ответ был опубликован, когда у меня была награда за ваш вопрос; я надеюсь, ответчик просто быстро прочитал статью, которую вы нашли, и опубликовал плохое резюме, чтобы получить эту награду, вместо того, чтобы действительно реализовать ее, что Я повторно опубликовал свой удаленный ответ по адресу REST-аутентификация и предоставление доступа к API. ключ.) 15.12.2012
  • Спасибо. Сейчас я добавлю комментарий к исходному вопросу. 15.12.2012
  • Новая идея: возможно CORS можно расширить, чтобы добиться того же. Однако мы этого не пробовали; см. мой собственный комментарий к моему предыдущему ответу. 09.01.2013
    • Новые материалы
    Кластеризация: более глубокий взгляд
    Кластеризация — это метод обучения без учителя, в котором мы пытаемся найти группы в наборе данных на основе некоторых известных или неизвестных свойств, которые могут существовать. Независимо от..
    Как написать эффективное резюме
    Предложения по дизайну и макету, чтобы представить себя профессионально Вам не позвонили на собеседование после того, как вы несколько раз подали заявку на работу своей мечты? У вас может..
    Частный метод Python: улучшение инкапсуляции и безопасности
    Введение Python — универсальный и мощный язык программирования, известный своей простотой и удобством использования. Одной из ключевых особенностей, отличающих Python от других языков, является..
    Как я автоматизирую тестирование с помощью Jest
    Шутка для победы, когда дело касается автоматизации тестирования Одной очень важной частью разработки программного обеспечения является автоматизация тестирования, поскольку она создает..
    Работа с векторными символическими архитектурами, часть 4 (искусственный интеллект)
    Hyperseed: неконтролируемое обучение с векторными символическими архитектурами (arXiv) Автор: Евгений Осипов , Сачин Кахавала , Диланта Хапутантри , Тимал Кемпития , Дасвин Де Сильва ,..
    Понимание расстояния Вассерштейна: мощная метрика в машинном обучении
    В обширной области машинного обучения часто возникает необходимость сравнивать и измерять различия между распределениями вероятностей. Традиционные метрики расстояния, такие как евклидово..
    Обеспечение масштабируемости LLM: облачный анализ с помощью AWS Fargate и Copilot
    В динамичной области искусственного интеллекта все большее распространение получают модели больших языков (LLM). Они жизненно важны для различных приложений, таких как интеллектуальные..