ajax – 保护Web API免遭未经授权的应用程序

此网站由匿名用户和经过身份验证的用户使用.正如您所期望的,经过身份验证的用户发出的Web服务调用需要身份验证,因此可以防止未经授权的用户或应用程序.

然而,该网站有很多功能,不需要身份验证,其中一些使用匿名Web服务.我使用的唯一方法是防止外部人员使用这个网络服务,这是通过使用CSRF token.我知道,CSRF令牌在这方面并不是非常有用的…在一段时间内,您可以了解如何使用Web服务,即使他们使用CSRF令牌.

当然,您可以使用CAPTCHA来防止应用程序或机器人自主地使用您的Web服务.然而,任何人都将能够使用它.

另一方面,在客户端和服务器之间共享密钥将是无用的.这是因为任何局外人从网页源代码中读取的能力.

我想使这些Web服务难以引用到任何第三方应用程序.除了使用CSRF令牌外,你还会做什么？听起来有点愚蠢,但嘿,也许这是愚蠢的,我只是失去了我的时间.

注意：鉴于此应用程序使用浏览器而不是“可执行文件”作为客户端,因此this question与讨论无关.我不能使用服务器和客户端之间的秘密(至少我不知道)