api - 保护对网站的 chrome 扩展谷歌日历 API 调用
问题描述
我建立了一个烧瓶网站,利用谷歌日历的 api 在用户的日历上读写。我还构建了一个 chrome 扩展程序,用户可以在其中通过扩展程序在他/她的日历上书写和阅读。因此,我不想用 javascript 重写代码,而是想调用我的网站 API。而且,无论如何,我必须让我的网站知道执行情况。因此,我别无选择。
我已经把两者联系起来了。但是,我似乎无法弄清楚如何保护 API 免受可能的 DDOS 或任何其他攻击。
根据我的研究,我的解决方案是:
- 将每个用户的 API 调用限制为每小时几个。但是,谷歌开发控制台接受每分钟而不是小时的查询,并且不接受小于 1 的值。
而且,即使我将其限制为 1,它也会使我的网站过时。 - 在扩展上创建身份验证系统(即 OAuth2)。但是,OAuth uuid 是令牌和刷新令牌(并不总是存在)。同时,代币每次都会改变。因此,即使我要为 chrome 扩展构建 OAuth2,用于验证的令牌也永远不会相同。也不是刷新令牌,因为它们将是不同的应用程序。
此外,任何其他传统方式都行不通,因为用 chrome 扩展编写的内容是开源的。
尽管我对这个主题进行了无数小时的研究,但我真的被困在该怎么做上。
网站是做什么的?对谷歌日历进行读/写日历 API 调用。应用程序是做什么的?作为中间人,接受用户输入来调用网站。
一般2个端点。
解决方案
推荐阅读
- graphql - 有什么方法可以导入带有自定义指令的查询吗?
- python - 使用 Python 将文件从一个目录移动到另一个目录时无法解决错误
- github - 如何使用 GitHub API 搜索存储库的分叉存储库?
- excel - 如何在 VBA 中创建单击按钮的代码?
- css - 显示混淆了 div 的大小
- eclipse - 项目元素中的这个 Eclipse 4.9.0 图标是什么意思?
- javascript - 用于在滚动时将导航栏文本更改为图像的 Java 脚本
- python - 线性回归 - 预测 ŷ
- purescript - 为来自 Halogen 的查询/请求获取“为表达式推断出无限类型”
- python-3.x - 如何在windows上运行QT平台插件