我想在我的反应应用程序中设置授权。这是出于安全原因,所以我的 API 只能由使用我们网站的人访问。但我的网络应用程序没有用户登录,也不需要任何登录。我的后端使用休息 api。
- 我将如何使用令牌进行授权?
- 如何在页面加载之前设置初始令牌?
问问题
27 次
1 回答
0
令牌之类的东西不起作用,因为听起来您的应用程序是公开的,因此任何人都可以获取令牌(作为基于浏览器的东西)并自己使用它。相反,我会探索 CORS 来控制来源 - 例如只允许您的网站被授权执行 api 调用。这是一篇关于将 CORS 与 AWS API Gateway 结合使用的文章。
https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-cors.html
但是,可以欺骗它,但是如果没有登录系统,您可能很难创建真正安全的东西。没有办法有效地隐藏嵌入在网站中的令牌,除非它是由用户提供的,这意味着登录页面或某种类似的方法来提供令牌。问题是,由于您的 API 显然不包含私人信息,那么您担心的是防止 DDOS 攻击,此时您应该考虑使用适当的工具/系统来抵消它。
于 2021-12-13T03:43:27.550 回答