0

我需要一些关于如何保护或强化对匿名 REST API 的访问的建议。这些 API 将由基于浏览器的 Web 应用程序访问。此 Web 应用程序不需要用户身份验证,因此我认为 OAuth 令牌不是一个选项。目的是保护这些 API 不被未知的应用程序/来源使用。

4

1 回答 1

0

不可能的。

您需要在客户端和服务器之间共享某种机密(会话 cookie、jwt 令牌、api 令牌……),以确保没有第三方在使用您的 api。

如果你没有这个,你就剩下将 IP 地址列入白名单(通常不起作用)或评估源头(我可以用 curl 轻松绕过它)。另一方面,检查来源可能总比没有好,请记住,这不是防弹的。

于 2021-09-30T06:23:01.870 回答