2

Express 网关允许使用 key-auth 来限制对某些用户/应用程序的访问。
但是,当它涉及 web 应用程序时,这意味着您不能掩盖客户端的凭据(从某种意义上说,它是公共信息)。

通常,您只想允许来自某个域的请求,就像我在 Google 地图中看到的那样。
如何使用 express-gateway 实现这一点?

4

2 回答 2

1

在这里找到它:

policies:
  - cors:
      -
        action:
          origin: http://www.example.com
          credentials: true

开发工具不关心 CORS,但这不是问题。
主要目标是避免其他应用程序使用 api 密钥,并且可以限制网关的速率。

于 2020-01-06T10:51:03.517 回答
0

Express 建议使用 TLS 进行从客户端到服务器的通信。但是,如果这不是您在此处需要的用例,那么此处列出的其他一些建议可能会有所帮助:https ://expressjs.com/en/advanced/best-practice-security.html

于 2020-01-05T22:46:52.693 回答