Je suis curieux de savoir comment fonctionne une restriction de clé API basée sur une URL, comme celle utilisée par Google pour protéger son service Google Maps. D'après ce que je comprends de cet article "Restricting Access to Ajax Services", il y a deux parties impliquées: d'abord où le service crée une clé spécifique pour un domaine donné, en utilisant une fonction de hachage unidirectionnelle; et la seconde où le service valide la clé en fonction de l'en-tête Referer.Clé de l'API basée sur l'URL Restriction: Comment fonctionne la validation?
Alors que l'article est assez explicite, j'ai toujours un problème en essayant de comprendre à quel point la méthode de validation est sûre. Je veux dire, si la clé n'est vérifiée que par rapport au referer, n'est-ce pas assez facile à forger? Je pense qu'un simple "127.0.0.1 www.mydomain.com" dans le fichier hosts sera suffisant pour tromper la validation, et pense que le referer est www.mydomain.com.
J'ai peut-être mal compris certaines choses et quelques précisions seront appréciées.
Il semble que votre lien soit mauvais. Si vous avez une chance de le corriger, je vais jeter un coup d'oeil! –