2

我有一个 API,我想从我的前端发出请求,它是使用 React 构建的。但是,我不希望任何人能够在我的代码中看到 API 调用,因为如果有人只是打开检查窗口,那么他们就可以看到 API 调用。我考虑过可能会在请求中添加某种标头作为身份验证发送,但这也不起作用,因为如果您检查站点,您只能看到代码。

我该怎么做?我的 API 返回一个私钥,我不能直接将它存储在我的代码中的变量中。

抱歉,如果这个问题没有意义,但我感谢所有帮助。

4

1 回答 1

1

默认情况下,您的前端代码是不安全且可观察的。前端没有秘密。如果您的 API 返回只能由相应用户访问的机密数据,您将必须实施任何类型的身份验证。

例如,用户将提供一个密码来调用 API,或者他之前登录并获得一个令牌(例如 JWT),他会在每次验证请求时发送该令牌。然后每个请求都有一个用户身份,您的后端可以决定是否允许用户获取该私钥。

如果你真的想让别人很难看到你的前端代码,你的路由器可能会提供像“受保护的路由”这样的功能,它需要这样的令牌才能访问你的应用程序的某些路由。由于业务逻辑必须保留在后端,因此始终可以获得前端代码。

于 2020-11-29T19:02:05.300 回答