Un site Web que je partage nous a été demandé d'ajouter du contenu à notre site, ce qui est une excellente publicité pour nous. Le hic, c'est qu'en raison de la nature de notre entreprise, nous devons faire très attention à qui a accès à notre site. (Nous distribuons de la musique pour les étiquettes aux stations de radio)Comment puis-je authentifier les utilisateurs de mon API?
Suite jusqu'à présent?
J'ai donc commencé une nouvelle page pour le contenu. Je pense que je veux avoir une sorte de chaîne hachée avec le nom du site appelant, une clé pour notre site et peut-être la date, cryptée et incluse dans la chaîne de requête ou un cookie envoyé depuis le site appelant. L'objectif serait d'empêcher que cela ne soit appelé depuis d'autres sites (leur site est également protégé par mot de passe), y compris l'usurpation DNS pour tromper mon site et lui faire croire qu'il est demandé sur ce site.
Donc, je pense que c'est une bonne solution.
- Est-ce? Si non, que devrais-je essayer à la place?
- Comment diable puis-je faire cela? Je pense que j'aurais appelé l'API à l'intérieur d'un iFrame sur leur site, avec la source comme mon site et la page avec la chaîne de requête, mais comment devrais-je obtenir l'URL du site appelant? Et que dois-je utiliser pour chiffrer la clé de chaîne de requête?