這是訪問REST API的AngularJS網站的設計問題。由於所有的AngularJS代碼都可以從客戶端查看(假設混淆並非完全安全),您如何隱藏API訪問憑據(API密鑰和密碼,甚至是JWT)?從AngualrJS應用隱藏API訪問憑證
這可以擴展到一個更廣泛的問題,關於如何在AngularJS網站中隱藏其他應用程序邏輯?
我的研究使我的一些見解,其中之一是
http://billpatrianakos.me/blog/2016/02/15/securing-api-keys-in-a-javascript-single-page-app/
但是,這裏有我更糊塗了,因爲文中建議連接到一個REST API的SPA是不是一個很好的架構。我認爲這是現在和現在不能確定什麼是正確的方法。
我很困惑。這個問題好像你想要一個意見,而不是一個答案。就我個人而言,我同意發佈它的作者。不過,我相信其他人會不同意 – cjds
我很抱歉。我原本有一個問題,關於隱藏API訪問憑據,但最終以對架構的意見請求結束。但是,如果後者是真的(即架構方法是錯誤的),那麼我原來的問題是沒有意義的。然後我的問題就是「那麼對於SPA和服務器端代碼(或數據庫訪問)而言,正確的架構是什麼?」。對不起,如果這不符合SO討論規則,不知道如何問這個問題。 –
關於你的第二個問題,我在下面添加了一個一般的解釋。這有點漫不經心,但應該有希望澄清 – cjds