网站用json作为数据传输的方式,但是这样就会存在一个问题,无论谁请求资源链接都能获取数据。如何才能限制只有自己网站请求才能提供资源呢?
考虑过检测请求来源和ip,但是这都可以伪造。请问,有更好的解决方案嘛?
使用转向层双加密方案
难道不是 token 吗?
带token key 之类的
- 作为
get还是post,只要你的网站是对外访问的,请求总是难免的。 - 但作为
page中来允许其中的json调用,个人建议在page中先随机生成类似token的东东,然后放入到每个调用json的url中作为允许调用的key(设定生命周期)。 - 重复上面的话,被人恶意模拟调用终究是难免的,不过可以使用多种方式合并使用以此来提高此门槛(或直接使用
session)。