我已经设置了一个简单的REST API服务器(使用Django REST框架),通过对请求中上传到服务器的映像进行一些处理来响应POST请求。以前我用它来支持我自己的前端(http://lips.kyleingraham.com)作为演示,但我现在想向其他用户打开API。
我希望最终用户能够注册,并从仪表板生成基于其凭据的令牌,然后可以将其硬编码到其Web应用程序中。注册部分我相信我可以处理,但我不清楚如何将生成的令牌限制到用户的Web应用程序域。我知道Web应用程序的代码很容易检查,因此我提供的任何API令牌都需要在我的后端进行监管。
如何将授权令牌限制为用户的Web应用程序域,以便即使令牌泄露,另一个用户也无法使用它?
如果您想将url硬编码到用户Web应用程序中,那么您无法保证如果有人获得该令牌,他将无法使用它。
唯一的想法是为每个令牌设置一些时间限制