我有一个基本的 html,其中包含一个表单。此表单提交由 RESTful 后端 api 服务(用 spring boot 编写)处理。由于商业原因,html 页面不受保护 - 任何类型的身份验证/登录机制都不能应用于 HTML。如何确保只允许 html 访问后端 API,而不允许访问其他来源? html 和后端 api 都在同一个域下。示例 - example.com/index.html; example.com/getStudentList
【问题讨论】:
标签: rest security spring-boot spring-security restful-authentication
如何确保只允许 html 访问后端 API,而不允许访问其他来源?
如果我的理解正确,您不希望您的 API 的使用者使用 API 进行身份验证,原因是什么?但是你想要的是任何加载索引页面的客户端都可以访问 API。
我能想到的最接近的实现方式就是将 API url 视为一次性垫:您动态生成 html 页面,其中 url 包含一些难以猜测的令牌。当 API 收到任何请求时,它会检查令牌——如果没有令牌,它会拒绝请求(403 - 禁止)。如果有令牌,则检查该令牌是否仍处于活动状态;如果令牌过期,则请求被拒绝。如果令牌处于非活动状态,但在某个宽限期内,您可能会将 API 请求重定向到具有较新令牌的 URL(301 - 永久移动)。如果令牌处于活动状态,那么您就可以处理请求。
Mark Seemann 在尝试解决一个不同的问题时,写了一个不错的小介绍:Avoiding Hackable URLs。
如果您觉得这听起来像是会话 cookie —— 那么,您并没有大错特错。老实说,我怀疑这些差异是微妙的,如果发现我夸大了它们,我也不会感到惊讶。主要区别在于我们将缓存失效和资源生命周期等内容明确地传达给中间组件。另一方面,Cookie 标头实际上是不透明的。
这个答案肯定是不完美的——任何碰巧猜测当前活动 URL 的人都将能够访问 API,无论他们是否点击了索引页面。默默无闻,而不是安全。
但在你有合理的要求之前,这可能足以让你渡过难关。
【讨论】: