有没有办法在纯 HTML/Javascript 应用程序中隐藏凭据,例如密码或身份验证标头令牌不让用户看到?
AngularJS 应用程序通过在不同域上运行的 CORS 与 rails 后端进行通信。
除了设置 CORS 的限制性更强或在后端的请求中检查域之外,我希望发送身份验证令牌或将令牌添加到标头。
有人知道吗?
亲切的问候,
亚历克斯
有没有办法在纯 HTML/Javascript 应用程序中隐藏凭据,例如密码或身份验证标头令牌不让用户看到?
AngularJS 应用程序通过在不同域上运行的 CORS 与 rails 后端进行通信。
除了设置 CORS 的限制性更强或在后端的请求中检查域之外,我希望发送身份验证令牌或将令牌添加到标头。
有人知道吗?
亲切的问候,
亚历克斯
我不认为有任何出路。无论如何,聪明的用户都可以使用它。
您只能通过晦涩难懂来限制用户看到的内容,这不是一个很好的主意。
这里的关键是以某种方式设置您的身份验证,这样用户可以看到或操作什么都无关紧要。一种方法是,每次您的应用程序需要进行身份验证时,将生成的密钥发送到您的客户端和您的第二个服务器应用程序。以对您的应用有意义的方式限制使用。另一种可能性是注册。
一种可能的解决方法是使用一台服务器作为客户端正在与之交谈的唯一节点,而服务器则完成与另一台服务器交谈的所有工作。特别是如果您出于某种原因不想让您的用户有可能在您的应用程序逻辑之外调用您的第二台服务器的 api。