我使用Apigee作爲私有REST API的代理,該API允許在我的數據庫上進行基本的CRUD操作。前端開發人員想直接從JavaScript/Ajax調用我的API,所以我不能使用基本的API Key身份驗證,因爲任何人都可以查看JS的源代碼並在API上調用可能具有破壞性的方法(我是遠離原點的瀏覽器中的策略,但這不會阻止某人在瀏覽器之外進行卷曲並調用我的API)。如何保護在JavaScript/Ajax客戶端[apigee]中使用的API?
什麼是最好的方法?用戶通過身份驗證後,UI開發人員能否以某種方式使用OAUTH獲取每個會話的訪問令牌,並在他的Ajax調用中使用該令牌?但即使如此,該用戶無法查看JS源代碼並通過curl做一些令人討厭的事情嗎?
在此先感謝!
任何瀏覽器都可以做,用戶也可以做。 – SLaks