我对 Action HeroJS 完全陌生,我想知道如何限制用户从浏览器访问我的 action herojs rest API、url?我什至将路由设置为 POST,但它仍然可以通过 get 方法访问吗?
就像在java中当我们指定一个rest api作为post时,get或浏览器url不能访问它?我怎样才能做到这一点?
编辑:在 github 上联系了 Action Hero,他们非常有帮助,解决方案是:在 web.js 中,输入 simpleRouting : false,它应该可以解决问题。在您可以从 URL 访问发布路由操作之前,但在这样做之后您不能!使用 get 访问 POST 将返回 404。
谢谢@埃文
无论您的语言/框架如何,任何人都可以访问所有路由,除非您在负载均衡器或类似级别阻止它们。
与其将问题视为“如何阻止”访问,您应该考虑诸如“我如何确保该用户经过身份验证以使用此路由”之类的问题。使用 cookie 或令牌之类的东西是可行的方法。
您可以使用 actionhero 的中间件将访问规则应用于特定操作,如果不允许,则将错误返回给用户。
这是一个执行这些类型的事情的示例项目:
logged-in-session中间件的动作(路由/url):https://github.com/evantahler/actionhero-angular-bootstrap-cors-csrf/blob/master/actions/showDocumentation.js