Является ли JSONP обязательным для вашего API?

У меня есть API WCF, который поддерживает SOAP/JSON/XML, но мы не предоставляем JSONP. Это означает, что если кто-то хочет использовать наш API с помощью JSON, он должен создать прокси-сервер на стороне сервера, чтобы обойти ограничение на кросс-браузер.

Я вроде как это, так как он не позволяет пользователям добавлять ключи и секреты api в код на стороне клиента. В то время как большинство методов принимают и используют токен, у нас есть методы auth, которые требуют, чтобы потребитель посылал ключ и секрет, чтобы получить этот токен доступа. Если мы разоблачим JSONP, некоторые пользователи могут сделать этот запрос клиентской стороной, и я не в восторге от этого.

Итак... если у вас есть API, поддерживающий JSON, важно поддерживать JSONP. Страшно ли требовать от потребителей создания прокси-сервера на стороне сервера?

JSONP не сложно реализовать, но по причине, изложенной выше, я не решаюсь. Kinda просто ищет мысли/советы. Благодаря

1 ответ

Вы можете создавать специальные ключи авторизации, которые работают только с JSONP, а затем возвращать Javascript, который проверяет location и гарантирует, что ключ авторизации был использован действительным сайтом.

Однако это не остановит вредоносный сервер от отправки запроса JSONP и разбора JSON.

Вам нужно выяснить, чего хотят ваши партнеры и что могут сделать злоумышленники, сделать компромисс между удобством и безопасностью.

licensed under cc by-sa 3.0 with attribution.