【发布时间】:2020-02-07 06:51:41
【问题描述】:
我正在构建一个 React.js 应用程序,它将与我在 Go 中构建的 REST API 进行交互。
React 将使用 Javascript Fetch API 向我的 API 发送请求。
问题是我想保护我的 API 不被其他地方请求。任何人都不能通过 URL 或 Postman 等任何其他客户端直接访问我的 API。
我知道 JWT 是什么,但这并不能解决我的问题,因为任何人都可以通过浏览器访问令牌,然后使用令牌继续在 React 客户端之外请求 API。
我进行了广泛的研究,但没有什么能真正符合我的描述。
非常感谢您提前提供的帮助。
【问题讨论】:
-
您打算如何为网页提供服务?一个想法是生成一个随机数,作为网页的标题发送。然后使用 nonce 访问 API。然后,API 将在后续请求的每个请求中返回另一个随机数。这将通过要求您使用网页加载的初始随机数调用它来实质上保护 API。它并不完美,但总比没有好。
-
@JustinSavala 所以本质上你是在考虑为每个请求生成一个随机数,而这个特定的随机数将有 1 个请求的生命周期?
-
这是一种方法,是的。不过,攻击者只需要在 React 客户端使用它之前获取 nonce,然后它就可以发出请求并接收新的 nonce。
-
这不是一个理想的方法,但它至少可以阻止随意的攻击。
-
谢谢大家。