Блог

Есть веб — сайт, который позволяет ограничить использование их API для определенных доменов-поэтому они будут получать и уважать только запросы, поступающие от этих доменов.

Как они проверяют домен отправителя? Можно ли это подделать?

Они могут проверить домен отправителя, проверив сертификат PubKey домена отправителя, прикрепленный к HTTPS-запросу отправителя, который должен быть подписан центром сертификации для подтверждения домена отправителя. Это должно работать на основе зашифрованного сетевого трафика данных на основе SSL.

Другой способ сделать это-поддержать взаимную аутентификацию TLS на сервере, и в этом случае клиенту придется аутентифицировать себя, представив соответствующий сертификат клиента TLS, который выдается ему взаимно доверенным центром сертификации.