Tema: ¿Como asegurar peticiones a API desde Javascript?
Ver Mensaje Individual
  #1 (permalink)  
Antiguo 28/05/2012, 15:48
vlycser
 
Fecha de Ingreso: febrero-2009
Mensajes: 7
Antigüedad: 15 años, 2 meses
Puntos: 0
Pregunta ¿Como asegurar peticiones a API desde Javascript?
Hola a todos.

El Contexto

He desarrollado un API en PHP y un cliente en Javascript y HTML, ambos componen mi aplicación. Todo funciona de maravilla. El cliente hace las peticiones a la API a través de Ajax, la API las procesa y retorna un resultado al cliente para ser mostrado.

El Problema

Ambos funcionan perfectamente en el mismo HOST. Pero si alguien mas desde otro lugar hace peticiones a la API esta le responderá. En este punto modifique la API para que respondiera solo si existía una sesión activa en el servidor.

Lo cual me genera dos inquietudes mas. Primero. no puedo proteger la parte de autenticacion del usuario en la API con el método anterior puesto que por lógica no existe una sesión activa porque apenas va a iniciarla.

y la segunda, Si existe un usuario mal intencionado que posee una sesión activa decide realizar peticiones a la API con los valores que este desee lo podría hacer.

La solución (en teoría)

Que la API solo acepte peticiones del cliente, con algún tipo de llave secreta que acompañe las mismas, pero recuerden que el cliente esta 100% hecho en JS y HTML lo cual impide almacenar de cualquier forma la llave en este.

Alguien puede ayudarme con este problema