高级安全设置
TRONSCAN API Key 高级安全设置配置指南。
何时需要这些设置?
高级安全设置通常用于保护 API 服务免受恶意攻击或滥用。以下情况可能需要启用:
1. 请求方法白名单
如果您希望仅允许通过可信方法发起的请求使用您的 API Key,建议启用此功能。API 白名单有助于防止未经授权的访问和恶意攻击。
2. User Agent 白名单
如果您希望将 API Key 的访问限制为特定的可信 User Agent,建议启用此功能。User Agent 白名单有助于保护您的 API Key 免受未经授权的访问和恶意攻击。
3. Origin 请求头白名单
如果您希望仅允许携带特定 Origin 请求头的请求访问您的 API Key,建议启用此功能。Origin 请求头白名单可有效防止跨站请求伪造(CSRF)攻击。
4. JWT
此机制用于对用户进行身份验证,仅允许已通过认证的用户使用您的 API Key。
配置高级安全设置对于保护您的 API Key 免受恶意攻击或滥用至关重要。但高级设置可能会增加 API 服务的复杂性,使管理难度加大。请仔细评估各种情况,谨慎操作。
请求方法白名单
启用此功能后,仅接受使用白名单中方法发起的 API 请求。
此功能通过拒绝使用非白名单 HTTP 方法的请求,帮助系统抵御恶意攻击和未经授权的访问。
Origin 请求头白名单
Origin 是一个 HTTP 请求头,用于标识请求的来源。
在跨域资源共享(CORS)中,Origin 请求头用于判断是否允许该请求。
当 Origin 请求头用于 CORS 时,建议同时实施其他安全机制——例如 CSRF Token 和 CORS 预检请求——以防止恶意攻击并提升系统整体安全性。
User Agent 白名单
当请求发送的 User-Agent 字符串与白名单中的任意条目匹配时,该请求将被接受。
使用此设置可将 API Key 的使用范围限制为您所控制的特定客户端、浏览器或服务器环境。
JWT
JSON Web Token(JWT)用于身份验证和授权。JWT 认证通过防御特定类型的攻击,增强系统的安全性和可扩展性。
使用此功能前,您必须正确配置 JWT 选项,包括私钥、算法和过期时间。配置错误可能引入安全漏洞。
JWT 配置要求
| 字段 | 位置 | 必填值 |
|---|---|---|
alg | JWT Header | RS256 |
typ | JWT Header | JWT |
aud | JWT Payload | tronscan.org |
kid | JWT Header | 由您的 JWT 公钥生成的 kid |
JWT Header 中的 kid(Key ID)字段必须与您注册的公钥所对应的 kid 一致。这将令牌与用于签名验证的正确公钥相关联。