我有一个网站,通过servlet发送动态信息给用户。它是无状态的,没有登录。这个特定的站点使用从客户端浏览器到服务器的大量doPost()和doGet()调用。如何仅将Servlets保留到我的网站(某种认证)?
我的问题是,如果有人阅读我的源代码,他们可以轻松地将我面向公众的servlet URL撕掉,并在我的Web服务器费用中拥有免费的API。
我该如何防止这种情况发生?我可以在JavaScript和Java之间使用哪种认证包,但不会增加明显的延迟?我只想让我的网页上的用户能够调用面向公众的servlet。
谢谢@MathanMV,我在看oauth,但对它的方向有点紧张。 http://hueniverse.com/2012/07/oauth-2-0-and-the-road-to-hell/。不知道我是否应该... – Chris 2013-02-14 01:22:56
同意oauth 2.0的一般情绪。简单的解决方案:使用oauth 1.0。它稳定并得到很好的支持。 – PaulProgrammer 2013-02-14 18:49:01