如何安全地处理从前端 Web 客户端到 Web API 的 API 密码?
How to safely handle API password from front-end web client side to Web API?
情况是后台WebAPI需要前端页面调用者提供授权数据(用户名和密码)。我需要编写一个前端 Web 客户端代码作为 Web API 调用方。 (不管是什么语言都是通用的)
Web API 只提供基本授权,没有其他方法,如令牌或其他东西。
如果我直接在客户端代码中将用户名和密码以明文形式写入,用户可以很容易地从浏览器的源代码中看到这些明文。
我想知道在前端客户端页面中处理这些授权数据的最佳做法是什么?
谢谢
您不可能隐藏离开客户端机器的纯文本详细信息,因为它们可以在很多地方拦截它。一种解决方案是在中间设置一个服务器,作为您的客户端和 API 之间的代理。你可以在中间服务器上进行任何你喜欢的身份验证,你可以在那里安全地存储你的详细信息。
情况是后台WebAPI需要前端页面调用者提供授权数据(用户名和密码)。我需要编写一个前端 Web 客户端代码作为 Web API 调用方。 (不管是什么语言都是通用的)
Web API 只提供基本授权,没有其他方法,如令牌或其他东西。
如果我直接在客户端代码中将用户名和密码以明文形式写入,用户可以很容易地从浏览器的源代码中看到这些明文。
我想知道在前端客户端页面中处理这些授权数据的最佳做法是什么?
谢谢
您不可能隐藏离开客户端机器的纯文本详细信息,因为它们可以在很多地方拦截它。一种解决方案是在中间设置一个服务器,作为您的客户端和 API 之间的代理。你可以在中间服务器上进行任何你喜欢的身份验证,你可以在那里安全地存储你的详细信息。