Я создал скрипт API для своего веб-сайта, поэтому люди могут заходить с другого сайта. Он использует PHP cuRL для POST-данных на моем сайте.
Я использую ключ api (хеш md5 на веб-сайте), чтобы проверить сайт с моей базой данных MySQL. Но когда кто-то использует мой API-клиент (PHP cURL), они также могут сохранять имя пользователя и пароли пользователя.
Как я могу предотвратить это?
Возможно, вы захотите рассмотреть возможность использования OAuth . Он предназначен именно для того, что вы хотите сделать.
Я набираю их имя пользователя и пароль на веб-сайт, отличный от вашего собственного, у вас нет возможности предотвратить захват этого владельца веб-сайта …
То, что вы хотите сделать, – создать на вашем сайте безопасный набор учетных данных для учетной записи пользователя, аналогичный имени пользователя / паролю, но только для использования API. Кроме того, не позволяйте этому новому набору учетных данных иметь возможность делать такие вещи, как удаление учетной записи пользователя или изменение адреса электронной почты.
Кроме того, дайте пользователям возможность изменить свои учетные данные API, если они захотят (в случае получения третьей стороной, и пользователь больше не хочет, чтобы у них был доступ).