我將爲我的客戶端創建一個API服務以供使用。 api會返回一些數據,這些數據將會顯示給使用我客戶網站的客戶。 api不需要任何種類的用戶數據。使用node.js進行api身份驗證
我想使用api鍵並使用它返回相關數據。但我想確保只有使用我的客戶網站的客戶才能訪問api。
我的問題是,如果我在前端使用api並暴露api密鑰,任何人都可以從他們的瀏覽器使用api。我不希望這種情況發生。我如何認證?如果這不起作用,我可以使用從我的服務器到客戶端服務器的API?即使那麼我將如何驗證服務器?
我使用nodejs並在後端表達。有任何想法嗎?謝謝!
謝謝!這就說得通了。即使我在客戶端製作api後端,您是否知道如何驗證請求來自正確的服務器?我知道我們並沒有公開API密鑰,只是爲了確保。 – prdtuty
@prdtuty如果您使用服務器端方法,並且您的服務器位於某種內部網絡中,那麼您可以簡單地應用默認限制規則,如IP過濾,路由,證書:)通常,IP過濾就足夠了 - 您有Web客戶端192.168.0.1,並且您有後端API 192.168.0.2,它只有單個端口(例如80),僅適用於192.168.0.1。 –
請求服務器不在內部。你認爲我需要在這種情況下啓用CORS嗎? – prdtuty