Реализация доступа к сайту для запросов с определенных сайтов

Хорошая идея но есть 1 НО:
Если злоумышленник приобрёл "ключ аутентификации" и захотел его использовать на нескольких копиях продукта, то модифицировав код "аутентифицированной" системы сможет обойти вышепредложенную защиту.
Вроде понятно отобразил идею обхода на диагараме последовательности. Прикрепил картинку.
(Добавление)
Какие соображения по этому поводу?
Прикреплено изображение (Нажмите для увеличения)

(Отредактировано автором: 23 Мая, 2015 - 22:55:32)

Вроде придумал вариант, где злоумышленник не сможет получить прямого доступа к API сервера.
Суть в том, что в ответ на "рукопожатие" сервер высылает ключ доступа, клиент его сохраняет и запускает сокет-сервер.
Сервер коннектится, как сокет-клиент к клиенту по переданному в первом запросе домену.
Если коннекта нет или ключи не совпадают, значит запрос делал не клиент.
Если же всё хорошо, сервер шлёт запрашиваемую информацию и закрывает соединение.
Прикреплено изображение (Нажмите для увеличения)

И как это помешает мне организовать свой шлюз к твоему сервису?
и не просто все свои проекты к тебе направлять а и вообще торговать твоими услугами налево))
Имхо лучше продавать объем за единицу времени
как я говорил в теме по ссылке выше

Видимо никак. К сожалению, никакой способ этому не помешает.

Конечно, я не совсем понял что ты имеешь ввиду, но в данной схеме обрубается доступ с левых доменов, в том числе с левых доменов выдающих себя за правый домен.

Но всё это можно обойти перенаправив полученную информацию с клиента на левые домены (сайты), и никакая защита на сервере уже не защитит, так как обращения к нему происходят только с правого клиента, левые туда даже не лезут, так как бесполезно им туда лыкаться.
(Добавление)
В отличии от этой http://forum.php.su/topic.php?fo...10881#1432410881 схемы, доступ будет иметь только аутентифицированый клиент, левым в доступе будет отказано.

Я имею ввиду давать клиенту 10 000 запросов в месяц - тариф базовый!
И пусть авторизуется хоть с сотни доменов
Оплачивается объем
Предоставляются логи
При 9 000ном запросе высылается предупреждение
Ну и всетакое
А иначе как сам понимаешь все превращается в защиту от честных воров
И кстати зачем сокет? Почему просто клиент не может передать адрес на который ему надо отправить запрошенные данные
Чтоб все по http
А еще можешь обфусцировать свой код и предоставлять готовую библиотеку
Всеже както еще отсечешь честных воров

Первый запрос от клиента идёт по http, где клиент сообщает ключ аутентификации и доменное имя. Сервер в ответе высылает ключ ConnectionKey.

Сразу после получения ответа, клиент создает сокет-сервер и ждёт подключения от сервера.
Сервер подключается по переданному домену из первого запроса.

Если запрос делал левый сайт и передал правый домен, то сервер не сможет подключится, так как там не ждут подключения сервера.
Если всё же сокет-сервер на клиенте и создан, то сравниваются ConnectionKey, что бы определить, действительно ли он делал запрос.

Хотя да, можно просто посылать http запрос с запрошенными данными... В общем, не важно, сокет это или http, принцип один.
(Добавление)
Предложу твой вариант начальству )) но врятле он с тобой согласится

как это неважно?
тыж заставляешь клиентов веб-сокеты учить))
(Добавление)
а если они на хостинге?
сильно ограничиваешь

веб-сокеты тут не задействованы, лишь сокеты между хостами.
на хостингах запрещены сокеты?
(Добавление)
И клиенту ничего учить не нужно.

на них нет сокет-серверов
ты не путаешь обычные tcp сокеты и веб-сокеты?
(Добавление)
мне кажется я ничего не понимаю
ладно
сделаешь отпишешь что получилось)

Ну обычные tcp сокеты и имелись ввиду )) Клиент это не браузер а система на клиентском домене. То есть предполагалась связь "сервер клиента"-"центральный сервер".
До "сделаешь" ещё много месяцев, пока нужно придумать, обдумать, написать, нарисовать. А потом уже делать.

а как ты сможешь ответить на tcp-сокет от клиента?
ты просто попробуй это для начала

А как обычно делают общение между сокетами? На том же php.net есть примеры реализации общения клиента и сервера. В моём случае у клиента будет запущен сокет-сервер, а центральный подключится к нему как клиент.

Bio man кто-то один из нас определенно плохо понимает как работают tcp сокеты))
просто попробуй сделать
маленькую прогу
без ключей и всего лишнего
просто открой сокет на клиенте и отправь в него данные с сервиса))

видимо это я. попробую

Я в свое время выполнял эту задачу через htaccess, конечно это далеко не лучшее решение, и я это понимаю, но расчет был на простого юзера