这个问题在面试中被问到过。我在网上搜索了一下,但没有找到一个能让我理解的解释。
假设我有一个 Web 服务,该服务返回一些东西的列表并可在公共域(任何人都可以使用该服务)中使用。为了安全起见,用户需要钥匙才能访问该 Web 服务。
如何安全地在 Ajax 中使用该 Web 服务?
问题在于,如果我使用 Ajax 访问该 Web 服务,任何人都可以看到我的私钥。
我建议使用加密,但我必须在解密时传递该密钥(正如我所获得的那样)。然后我建议使用一个中介文件(位于服务器端),通过它调用该 Web 服务,但是如果有人直接访问该中介文件呢?(我知道同源策略)
我真的想知道如何克服这些问题的可能解决方案以及进行 REST 安全 AJAX 调用的最佳实践是什么。