在不泄露API密钥的情况下从客户端上传文件

Question

例如，我正在尝试将web应用程序中的文件上传到外部源(如scribd)。要上传文件，我还需要发送API密钥。但是，如果我从客户端发送API密钥，它将被显示给在客户端搜索它的用户。

如何使用不想泄露给用户的API密钥从客户端上传？将它上传到我的服务器，然后再上传到外部源，这似乎是多余的。

Answer 1

尽管通过您的服务器可能是多余的，但这是唯一的方法。您不能使用密钥客户端并对客户端隐藏它，如果您不使用HTTPS，它也很容易被拦截。顺便说一句，我不知道Scribd，但通常窃取API密钥并不是很有用，所以你可能会承担“风险”。

API :显然， Scribd提供了一种提供加密请求的方法，这样你的密钥就不会被它们推断出来(当然，你必须远程生成这些请求，并将它们发送给客户端)。请参阅http://www.scribd.com/developers/api?method_name=Signing