$url = "http://site.be/api.php?login=".urlencode($login)."&pass=".urlenco de($pass);
$result = @file_get_contents($url);
if($result == 1){
print "Je inloggegevens zijn ok!";
}
Dit is een script dat controleerd of de inloggegevens wel correct zijn bij 1 centrale webhost.
Deze centrale webhost (api.php) dient nu te controleren of de aanvrager van deze controle wel effectief hiertoe de rechten heeft.
Het gaat niet om de persoon die zich inlogt, maar om de 'vreemde website' die onze inlogmethode gebruikt zonder toestemming.
Ik dacht dit te doen via een REFERER controle, maar deze wordt bij file_get_contents natuurlijk niet meegezonden.
Hoe kan ik nu alsnog controleren of de aanvrager ervan hiertoe wel gerechtigd is?
Het handigste was als ik het domein kon te weten komen van waarop de aanvraag gebeurde, maar op deze methode lijkt dit haast onmogelijk.
Ik dien er rekening mee te houden dat de aanvragende website mogelijk het apiadres wijzigt en zich voordoet als iemand anders.
Is de enige methode echt dat de aanvrager een eigen uniek nummer/account moet aanmaken waarlangs wij kunnen herkennen wie het is als hij dit meezend naar de api?
Want ook op deze manier kunnen lekken ontstaan...