我将实现一个可以在其他网站上使用的聊天机器人网络应用程序。我计划在 www.mysite.com 中托管此应用程序,客户将能够在其网站的 iframe 中显示此聊天机器人。想要使用我的聊天机器人的网站所有者将在我的网站上拥有他们的帐户。
首先,我计划从客户那里获取聊天机器人运行的域,并将其绑定到他们的客户 ID。当他们使用类似于 www.mysite.com?customerId=12345 的内容打开 iframe 时,我将验证域是否与我这边的 id 匹配。它看起来像其他聊天机器人应用程序(对讲机等)正在使用的方法。
但是我不确定我应该使用什么样的授权方式。我的客户可以有自己的用户。每个用户都可以拥有自己的聊天机器人。任何用户都不应能够访问其他用户的机器人。安全使用我的客户提供的授权的最佳方式是什么?
客户可以通过将聊天机器人分配给他们的用户来处理部分安全问题。并防止用户看到其他人的机器人。但是我不能有这样的 URL; www.mysite.com?customerId=12345&botId=321 因为它会允许所有用户在其 ID 被泄露时访问该机器人。