RESTful - zabezpieczenie odnośników GET

Question

Hej,

mam pytanie odnośnie koncepcji aplikacji typu RESTful. Aby zwrócić pewne dane metodą GET odwołujemy się do pewnej sprecyzowanej ścieżki w naszej apliakcji np. http://naszaplikacja.pl/users i zwraca nam ona JSONa z danymi. Czy istnieje jakaś możliwość, że gdy użytkownik wejdzie na podany adres na czysto w przeglądarce to otrzyma error albo przekieruje się go stronę na główną? A samo pobranie danych będzie możliwe tylko AJAXem? Da się to jakoś "zabezpieczyć" (bez sprawdzania sesji)?

Answer 1

Jeśli JSON zwraca plik PHP to można w tym pliku PHP sprawdzić kto go "wywołał" poprzez wbudowaną w PHP tablicę $_SERVER (http://php.net/manual/en/reserved.variables.server.php ) a dokładniej przez:

$_SERVER['HTTP_REFERER']

Jest jednak jedno "ale" - podobno nie wszystkie przeglądarki wysyłają tą informację lub łatwo ją zmodyfikować. Także nie jest to sposób do końca pewny...

Answer 2

Hmm.. A to co zwraca json-a to PHP czy statyczny plik z rozszerzeniem np. *.json?

Comments

Emm PHP z Content-Type: application/json.

---

No to tak jak kolega wyżej napisał, pokombinować coś z referem. Ale ktokolwiek z Firefox'em, czy przez curla, czy jak kolwiek może sobie dowolnie modyfikować wysyłanego referera, więc to i tak raczej wątpliwej jakości zabezpieczenie. No ale na pewno część prób otwarcia uda się skutecznie zablokować.