在获取请求中隐藏 API 键
Hide API key in Get Request
我已经设置了一个带有 AD 身份验证的安全 Azure 函数,以便在 React 应用程序中使用。
这涉及使用 API 键作为参数发送以下 GET 请求。
https://{domain_name}.azurewebsites.net/api/PowerBiEembeddedToken?code={my_api_key}
但是,我认为这是不安全的,因为我可以在浏览器的网络 XHR 选项卡中看到 API 键。
- 从安全角度来看,这样可以吗?
- 如果没有,是否有处理此问题或隐藏 API 键的规范方法?
我从文档中找到了答案。
密钥可以包含在名为 code 的查询字符串变量中,如上所述。它也可以包含在 x-functions-key HTTP header 中。键的值可以是为函数定义的任何函数键,也可以是任何主机键。
我已经设置了一个带有 AD 身份验证的安全 Azure 函数,以便在 React 应用程序中使用。
这涉及使用 API 键作为参数发送以下 GET 请求。
https://{domain_name}.azurewebsites.net/api/PowerBiEembeddedToken?code={my_api_key}
但是,我认为这是不安全的,因为我可以在浏览器的网络 XHR 选项卡中看到 API 键。
- 从安全角度来看,这样可以吗?
- 如果没有,是否有处理此问题或隐藏 API 键的规范方法?
我从文档中找到了答案。
密钥可以包含在名为 code 的查询字符串变量中,如上所述。它也可以包含在 x-functions-key HTTP header 中。键的值可以是为函数定义的任何函数键,也可以是任何主机键。