Le script suivant interroge les informations d'une API et les affiche dans le HTML, en utilisant simplement AJAX et Javascript.Passer un jeton d'API en Javascript: comment le garder en sécurité
Le TOKEN pour l'API est exposé dans le Javascript. À mon avis, ce n'est pas sûr, car quiconque peut accéder à la page peut voir le jeton. SI cette méthode n'est pas sûre, existe-t-il une méthode supplémentaire pour cacher le jeton? Idéalement, je voudrais utiliser Javascript, HTML et PHP si nécessaire. Le script existant est très simple et je me demande s'il existe une façon relativement simple de protéger le jeton ... plutôt que d'avoir à ajouter beaucoup de nouveau code ou de nouvelles méthodes.
<html>
<body>
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.11.1/jquery.min.js"></script>
<script>
var settings = {
"async": true,
"crossDomain": true,
"url": "https://www.eventbriteapi.com/v3/events/eventid/?
token=TOKEN",
"method": "GET",
"headers": {}
}
$.ajax(settings).done(function (data) {
console.log(data);
var content = "<h2>" + data.name.text + "</h2>" + data.description.html +
data.start.utc;
$("#eventbrite").append(content);
});
</script>
<div id="eventbrite"></div>
</body>
</html>
définitivement son pas en sécurité d'appeler un api privé de votre client, au lieu vous devez appeler 'votre server', et votre serveur peut alors appeler l'API 'eventbrite'. – webdeb
créer un script php sur votre site qui gère l'appel réel sur le site distant et utiliser ajax pour envoyer le e demande à votre script PHP local (donc il agit plus ou moins comme un proxy) – RamRaider
Non seulement votre clé "secrète" ne peut pas être secrète dans le navigateur, mais en plus, vous ne pouvez même pas faire une croix demande de domaine. La seule solution à votre problème est d'utiliser le serveur, pas le navigateur. –