在 React JS 中安全 API 调用
Secure API Call in React JS
我有一个 API 我想从我的前端发出请求,它是使用 React 构建的。但是,我不希望任何人能够在我的代码中看到 API 调用,因为如果有人只是打开 inspect window,那么他们就可以看到 API 调用。我想过也许添加某种 header 作为请求中的身份验证发送,但这也不起作用,因为如果您检查该站点,您只能看到代码。
我该怎么做?我的 API returns 私钥,我不能直接将其存储在代码中的变量中。
抱歉,如果这个问题没有意义,但我感谢所有帮助。
默认情况下,您的前端代码不安全且可观察。前端没有秘密。
如果您的 API returns 机密数据只能由适当的用户访问,您将必须实施任何类型的身份验证。
然后,用户会提供密码以调用 API,或者他之前登录并获得他随每个请求发送的令牌(例如 JWT)以进行身份验证。然后每个请求都有一个用户身份,您的后端可以决定是否允许用户获取该私钥。
如果您真的想让别人很难看到您的前端代码,您的路由器可能会提供类似“受保护路由”的功能,需要这样的令牌才能访问您应用程序的某些路由。仍然总是可以获取前端代码,因为业务逻辑必须留在后端。
我有一个 API 我想从我的前端发出请求,它是使用 React 构建的。但是,我不希望任何人能够在我的代码中看到 API 调用,因为如果有人只是打开 inspect window,那么他们就可以看到 API 调用。我想过也许添加某种 header 作为请求中的身份验证发送,但这也不起作用,因为如果您检查该站点,您只能看到代码。
我该怎么做?我的 API returns 私钥,我不能直接将其存储在代码中的变量中。
抱歉,如果这个问题没有意义,但我感谢所有帮助。
默认情况下,您的前端代码不安全且可观察。前端没有秘密。 如果您的 API returns 机密数据只能由适当的用户访问,您将必须实施任何类型的身份验证。
然后,用户会提供密码以调用 API,或者他之前登录并获得他随每个请求发送的令牌(例如 JWT)以进行身份验证。然后每个请求都有一个用户身份,您的后端可以决定是否允许用户获取该私钥。
如果您真的想让别人很难看到您的前端代码,您的路由器可能会提供类似“受保护路由”的功能,需要这样的令牌才能访问您应用程序的某些路由。仍然总是可以获取前端代码,因为业务逻辑必须留在后端。