WooCommerce API安全问题

时间:2020-07-28 作者:hurnhu

我正在构建一个本地应用程序,它将使用woocommerce API收集产品。

我创建的API用户对该API具有只读访问权限。我正在制作的应用程序将公开,因此暴露api密钥是否存在任何安全问题?

因为该应用程序不难反编译并获取API密钥。

它是只读的,我在只读用户的API中没有看到任何相关内容。

如有任何建议,我们将不胜感激。

1 个回复
SO网友:mozboz

正如你所暗示的那样,在你的应用程序中为所有用户设置一个硬编码的密钥,从直觉上看,这似乎是一个非常糟糕的设计。如果不中断所有用户的应用程序,就无法收回该密钥,如果一个用户(例如,使API过载)无法轻松限制访问。如果这样做,您可能根本没有密钥,因为恢复密钥可能很简单。

在这种情况下,更好的设计是为每个用户颁发一个密钥,并在应用程序中包含一个要求,即用户在API工作之前输入自己的密钥。(或者,如果他们没有输入密钥,则会以某种方式限制访问的次数)

这意味着您需要:

找到一种为每个用户颁发密钥的方法,更新你的应用程序以允许输入API密钥,这听起来应该很熟悉,因为像谷歌API这样的许多服务都需要注册、获取密钥,然后将密钥放入你的应用程序/代码中。

标签: woocommerce-offtopic   rest-api   security   小码农  

相关推荐

Php致命错误:无法将WP_REST_RESPONSE类型的对象用作wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php中

我向WordPress添加了一个自定义端点,如下所示: add_action( \'rest_api_init\', function () { register_rest_route( \'menc/v1\', \'/crosscat/(?P[\\w-]+)/(?P[\\w-]+)\', array( \'methods\' => \'GET\', \'callback\' => \'dept_cat_api\',&#x