我對(duì)于RESTful Web API/Oauth有最基本的認(rèn)識(shí)和設(shè)計(jì)經(jīng)歷。在現(xiàn)在網(wǎng)站設(shè)計(jì)中，除了RESTful API，還會(huì)同時(shí)存在AJAX/JSONP接口，很大程度上和RESTful Web API暴露的是同樣的資源。

如果RESTful API使用apikey/apisecret/token方式來(lái)實(shí)現(xiàn)認(rèn)證和授權(quán)，那么運(yùn)行在瀏覽器的AJAX/JSONP的認(rèn)證方式也應(yīng)該有對(duì)應(yīng)的認(rèn)證和授權(quán)，而不是像大多數(shù)演示代碼。

在瀏覽器的"Web開(kāi)發(fā)者|Web控制臺(tái)"，我們可以看到網(wǎng)頁(yè)前端發(fā)出的ajax訪問(wèn)：

響應(yīng)頭：
Content-Length    14
Content-Type    application/json
Date    Sun, 04 Mar 2018 08:06:07 GMT
Server    Werkzeug/0.11.4 Python/2.7.3

請(qǐng)求頭：
Accept        application/json, text/javascript, */*
Accept-Encoding        gzip, deflate
Accept-Language        zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Cache-Control        no-cache
Connection        keep-alive
Content-Type    application/x-www-form-urlencoded
Cookie    lang="emhfQ04=|1519946885|0cff…c9181d85ecd7d7cdfaffb1e17537"
Host        123.57.211.188:5000
Pragma        no-cache
Referer        http://123.57.211.188:5000/
User-Agent        Mozilla/5.0 (Windows NT 10.0; …) Gecko/20100101 Firefox/58.0
X-Requested-With        XMLHttpRequest

這里host/referer/X-Requested-With是瀏覽器（用戶代理）發(fā)出的請(qǐng)求，但是網(wǎng)絡(luò)爬蟲也同樣模擬這些請(qǐng)求頭信息，所以沒(méi)有合適的認(rèn)證授權(quán)方式，很容易被抓取數(shù)據(jù)。

如果ajax請(qǐng)求在TLS之上，通過(guò)cookie/session組合，可以實(shí)現(xiàn)和普通Web服務(wù)一樣的認(rèn)證授權(quán)。提這個(gè)問(wèn)題，主要是想要了解AJAX/JSONP/RESTful三種接口在安全性相關(guān)設(shè)計(jì)中差異。