API和前端开发
APIs and front-end development
我们目前正在使用 APIs 和前端 JS 库实现一个网络应用程序。目前从安全角度引起的一个担忧:
在前端代码中公开这些 API 调用是否有问题?
由于这将是一个 public 网站,因此 API 调用的一个示例是获取所有可用产品。网页是否可以通过 API 调用显示所有可用产品(无需用户登录),但不允许其他人在网站外部进行此调用(例如使用像 fiddler 这样的工具)?
我想我正在寻找一种架构模式 and/or 在 public 可访问网站的前端使用 API 的最佳实践。
任何guidance/links非常感谢
api 本身可以使用各种方法限制 http 请求的来源。根据您使用的 language/platform,您可以完全控制 who/what 实际上可以对您的 API.
执行 http 请求
大多数人只会将 CORS 用作极其基本的解决方案。如果未被 API 本身列入白名单,CORS 将阻止未经授权的 HTTP 请求进入。
我们目前正在使用 APIs 和前端 JS 库实现一个网络应用程序。目前从安全角度引起的一个担忧:
在前端代码中公开这些 API 调用是否有问题? 由于这将是一个 public 网站,因此 API 调用的一个示例是获取所有可用产品。网页是否可以通过 API 调用显示所有可用产品(无需用户登录),但不允许其他人在网站外部进行此调用(例如使用像 fiddler 这样的工具)?
我想我正在寻找一种架构模式 and/or 在 public 可访问网站的前端使用 API 的最佳实践。
任何guidance/links非常感谢
api 本身可以使用各种方法限制 http 请求的来源。根据您使用的 language/platform,您可以完全控制 who/what 实际上可以对您的 API.
执行 http 请求大多数人只会将 CORS 用作极其基本的解决方案。如果未被 API 本身列入白名单,CORS 将阻止未经授权的 HTTP 请求进入。