限制Bitly API到特定域名

Question

我正在使用jQuery和Bitly API来自动缩短链接，但由于客户端的代码很容易被攻破，不管混淆如何，API key都很容易被攻破。

我的问题是:有没有办法将请求限制到特定的域？换句话说，如果请求来自example.com，则传递它，否则拒绝。

我搜索了一下bitly account preferences和API，但找不到这种能力，可能是因为我的经验有限。如果有人能对此提供帮助或提供替代解决方案，我将不胜感激。

提前谢谢你。

Answer 1

即使Bitly有一种通过请求IP来锁定API调用的机制，但在您当前的设计中，发出请求的是每个单独的客户端IP，因此您唯一可能的锁定方法是在浏览器上引用URL域。欺骗引用域相当容易，所以除非别无选择，否则我会避免暴露您的API密钥。

我会通过你的web服务器将API请求转发给Bitly (这样，API密钥只能保留在服务器上，客户端永远看不到)。