Javascript 调用的 api 如何防止被第三方调用

目前的一个简单思路，虽然还是有被 hack 调用的可能..

1. CSRF 或 API Token ，一个在页面顶部或底部 DOM 里的随机 key ，在请求的时候一律带在 parameter 里
2. referral 控制，非本站的 referral 拒绝访问（ Edge 会挂掉
3. CORS 同源请求控制，和 referral 类似的效果，不过是浏览器会自动禁止调用而不是等你的 web server 拒绝

没办法吧，微信网页版和网易云音乐 api 都被分析出来了。

几乎不可能， 12306 做了那么多策略还是有完全独立于浏览器的抢票软件； you-get 支持那么多网站的视频地址提取。

HTTP 协议分析太容易了，私有协议都各种破解，参考各种游戏外挂。

总之，还是看成本和收益，如果分析协议带来的收益高于成本很多，那就危险了。

如 3l 所说完全杜绝不太可能。。不过增加调用难度和成本还是可以的，一般 api 没到非去调用你的程度

api 提供方限定 ip

Api key, security key?

白名单域名

@ryanking8215

这个是不行的， Js 在浏览器可以直接看到源码，会暴露出 Key

不可能的吧，总是可以模拟请求的。
不知道为什么会有这种需求，如果 API 能保证安全，而且加了调用频率限制，就不怕被直接调用了。

很多规定仅仅在浏览器里有效。。

随机改变 API 规则、、让第三方调用者“计划赶不上变化”

换个思路，把你的 API 做成即使开放也没什么问题的程度。

Welcome to the Internet.

用 jsonwebtoken 认证可以吧

@miyuki 要看你防止什么样的，仅仅一个动态 API key 就需要每个 session 先请求一次你的页面
referral 和 CORS 也是针对浏览器里调用，如果写客户端的话那基本就各种没辙了...

楼上说的把 API 做成可以开放的想法很不错。

普通的基本不行，你看连 QQ 协议都通过抓包搞出来了~

只有各种 ID 认证。

完全杜绝不太可能，但是可以限制一个请求次数，比如一分钟超过多少次就被列为非法用户，通过验证码来增加调用成本就好了。

referral 可以伪造的,这条路不行
可以简单的把 api 的请求参数或者认证固定或随机频率更换

@miyuki 参考 amazon 的 s3 restful api ，用 security key 做签名

跳出浏览器吧，我觉得还是自己做客户端才是最能保密呢

加大调用难度，真正的有心人你防不住，唯一要防的就是那些半吊子功夫写程序又喜欢拿出分享的人。