保护 Web api 不被浏览器外部调用

Question

也许我想多了。

我在浏览器中运行了一些简单的 javascript 游戏（拼图等），当用户获胜时，积分会根据他们完成游戏的速度发送到 laravel 后端。

当用户登录时，会创建一个典型的会话，当通过 POST 请求发送积分时，csrf 和 JWT 也是如此。

用户是否可以在不实际玩游戏的情况下打开 chrome 开发控制台并获取 url，然后复制 crsf、cookie 或 JWT 并将积分发送到后端？

在浏览器外部调用的 API 不遵守 Access-Controll-Allow-Origin 政策。

谁能解释是什么阻止了用户这样做或如何阻止此操作并确保用户真正玩游戏来赚取积分？

Answer 1

一种方法是逐步安排游戏。也就是说，使用多个<form> 元素。

初始页面将恰好包含一个 <form> 元素，其中恰好包含游戏的一部分。

只有在提交该表单时，服务器才会将下一个 <form> 元素发送到 document。

每个<form> 元素都有一个带有唯一标识符的<input type="submit"> 元素；例如时间戳，设置为name属性并在服务器生成；在游戏过程中的该步骤完成<form> 所需的最长时间内到期。

如果用户提交的<form> 没有唯一标识符，或者<form> 的步骤超出了完成代表流程中一个步骤的<form> 所需的最长时间范围，则用户将被取消“赢得”该当前游戏，或在给定时间内玩游戏。