Limiter l'API Bitly à un domaine spécifique

Question

J'utilise jQuery avec Bitly API pour automatiser le raccourcissement des liens, mais comme le code côté client, la clé API peut être facilement compromise, quelle que soit l'obfuscation.

Ma question: existe-t-il un moyen de restreindre les requêtes à un domaine spécifique? En d'autres termes, si la demande est originaire de example.com puis le passer, sinon refuser. J'ai cherché par le biais des préférences de compte binaire et API, mais je ne pouvais pas repérer cette capacité, peut-être en raison de mon expérience limitée. J'apprécierais si quelqu'un peut aider avec ceci ou fournir une solution de contournement alternative.

Merci d'avance.

Answer 1

Même si Bitly avait un mécanisme pour verrouiller les appels d'API en demandant l'IP, avec votre design actuel, c'est chaque IP du client qui ferait la demande, donc votre seule façon de le verrouiller serait de se référer à l'URL domaine sur le navigateur. Il est assez facile d'usurper un domaine référent, et donc j'éviterais d'exposer votre clé API à moins qu'il n'y ait pas d'autre moyen. Je transmettrais la demande API à Bitly via votre serveur Web (de cette façon, la clé API ne peut rester que sur le serveur et ne sera jamais visible par les clients).