@akdes

Безопасно ли использовать $_SERVER['REMOTE_ADDR'] для допуска к API?

Добрый день.
Пишу небольшую API для двух сервисов
1. Админка
2. Frontend
т.к. в скором времени Frontend разобьётся на несколько сервисов, хочу предусмотреть это в API:
Думал давать доступ по Ключу и адресу, откуда идёт запрос. Т.е. в БД есть связка из API_Token и RemoteAdress "myApp.com" или "127.0.0.2" из $_SERVER['REMOTE_ADDR']
отсюда вопрос, насколько безопасно данное решение?

Может ли кто посоветовать более умное/безопасное решение контроля допуска по айпи/домену?
И на сколько это вообще реально, если запросы идут например от Angular(IP-Юзвера а не App-Server)? Нужно писать "Request-Forwarder", который висит над Angular и шлёт дальше запросы на сервис...

Цель: Недопустить использования API извне, за исключением Whitelisted.

Заранее благодарен за Ваш опыт и советы.
  • Вопрос задан
  • 587 просмотров
Пригласить эксперта
Ответы на вопрос 1
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
если запросы идут например от Angular(IP-Юзвера а не App-Server)

Недопустить использования API извне, за исключением Whitelisted.

Два противоречащих друг другу правила.

Вы можете давать:
1. публичный (когда токен не нужен).
2. авторизованный доступ (когда клиент уже залогинился и получил токен для доступа к API, затем обратился к API, подписав запрос выданным токеном при логоне)
3. закрытый - двухфакторная авторизация с динамическим ключом (когда формула генерации динамического токена для подписи запроса выдана через иной канал: почту или ещё как-то)

Других вариантов для API - нет.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы