關於Rest API訪問和最終用戶應用程序的Cross Origins建議

Question

我並不需要這裏的代碼幫助，更多關於如何處理這種情況的建議。

我有一個使用Spring啓動的REST API。

我還有一個簡單的混合應用程序，我需要部署給公司內的用戶以及「買入」API訪問權限的客戶。用戶可以在世界任何地方，這意味着我永遠不知道他們會在哪個領域。

據我所知，使用下面的標題是不好的做法：

"Access-Control-Allow-Origin":"*" 

既然我知道我們的API應該是這樣的前端應用程序訪問的唯一的一點，但我從來不知道在哪裏的用戶那個應用程序將會，或者他們將會在什麼網絡上，我該怎麼做？

在這裏標記春天社區，儘管這不是以春天爲中心的問題。這是因爲我實際上在使用Spring，我猜這個社區以前會解決這個問題。

Answer 1

我相信這個問題不是關於CORS的。

「Access-Control-Allow-Origin」：「*」確定，因爲您需要從任何地方訪問您的API。

即使您知道所有您需要允許的起源，您也不應該依賴從客戶端發送的Origin標頭，因爲您可以發送任何標頭。

驗證您的用戶，您將知道用戶是否可以訪問API。

感謝。