关于防止WebAPi被第三方网站盗用
我现在想用WebAPI建立一套自己的数据接口,给自己的其他站点调用,但是如何防止别人来盗用(CSRF攻击什么的)。比如别人仿造了一个网站,然后调用的接口全是我的接口的情况。
我目前想的方法是这样的:
1、B站点向A站点(webAPI接口)发起一个请求
2、A站验证B站是否可信(如何验证?)
3、如果可信,则A站给B站发送一个token
4、B站点每次发送请求,都必须带着这个token
5、A站的所有接口多必须验证这个token是否有效,然后再做相应处理。
关键是如何验证B是否可信。我这里准备利用Html5的CORS特性,不知道能否拒绝第三方请求?有没有什么可靠的办法?