保护 REST 接口免受反向工程访问

Question

我正在编写一个使用 REST 后端 (JSON) 访问数据库的 SPA (Angular)。添加基于 OAUTH 的基于令牌的身份验证系统来处理请求的登录和授权是相当容易的。

我现在关心的是如何检测何时有人编写了访问我的 REST 服务器的自己的应用程序？我想做的是采用一个使用条款，如果您使用我的 SPA，服务器访问是免费的，但如果用户编写自己的应用程序，则收取费用。

对 API 进行逆向工程肯定不难。由于用户可以访问所有 SPA 代码，因此我想不出一种方法，即您不能编写一个替代 SPA 来访问服务器并且它无法区分。

关于如何做到这一点的任何指示？

Answer 1

CORS 标头会阻止其他域中的人访问您的服务。只要确保您正确设置它们并且不要向世界开放它们。

但它不会阻止某人通过您的服务进行代理。这更难阻止。您可以从一些 IP 地址中寻找高度活动。

OAuth2 也可以提供帮助。这至少会让其他人更难假装他们的浏览器。这也很有效，因为您会看到来自不同用户（可能）的大量活动都来自同一个 IP 地址或范围。

不过，最好的建议是创建您的服务，以便其他人使用它并不重要。也许您可以找到一种完全相反的方法并完全打开它。许多服务已经通过开放 api 获得了成功（事实上，它们可以取得更大的成功）。您是否有特定理由不允许用户方便地访问您的服务中的数据？