1
我們有一個用於我們網站的網絡公共API服務。如何限制只有我們的網站可以訪問我們的API?如何禁止來自公共API的未經身份驗證的請求
網站和API使用相同的域,所以CORS不起作用。 API由NodeJS & Express構建。
A
回答
2
您可以使用稱爲JWT-JSON Web令牌的東西。這是當今用於驗證Web服務的最新最簡單的工具。使用JWT和nodeJs非常簡單。
第1步:安裝JWT for node。
npm install jwt
第2步:創建一個JWT令牌。示例
token = jwt.sign({
url:"www.abc.com",
param2: value2,
param3: value3,
accesstoken: casjzhiy15t4e78y8bnvkds98u2e3098nc1bxu
}, "HASHKEY");
在這裏,參數可以是任何您希望添加到令牌的參數,並且HASHKEY應該是字符串值。而已。現在,您可以將生成的令牌傳遞相同的令牌複製到來自Web的API調用。
第3步:驗證令牌API
var adminToken = req.headers.admintoken;
var decoded = jwt.verify(adminToken, 'HASHKEY');
if(decoded.PARAM1 == "VALUE1"){
//Request is coming from an authenticated source
}
您可以參考官方JWT文檔更詳細的信息。
+0
令牌是由node還是js創建的?如果節點,你如何確保請求的域名是正確的?據我所知,referer頭部很容易被惡搞。 – springuper
相關問題
- 1. Jmeter中的經過身份驗證的API請求
- 2. 未經身份驗證的請求的REST式URL設計
- 3. Jenkins python api身份驗證「403禁止」
- 4. 未經身份驗證的Facebook應用簽署請求?
- 5. Spring Cloud安全 - 允許未經身份驗證的請求
- 6. 如何保護不需要身份驗證的公共API?
- 7. REST API請求身份驗證
- 8. NodeJS API HTTP POST請求身份驗證
- 9. Spring 4 API請求身份驗證
- 10. Twitter API [1.1]身份驗證請求 -
- 11. 如何讓我的Servlet過濾器調用未經身份驗證的請求?
- 12. HTTP請求被禁止,客戶端身份驗證方案'Basic'
- 13. ALDB身份驗證請求
- 14. Python ::請求身份驗證
- 15. Internet Explorer ajax請求未經過身份驗證
- 16. 如何阻止favicon.ico請求的htaccess身份驗證
- 17. 禁用公共頁面的表單身份驗證
- 18. 爲來自web.config文件的http請求配置身份驗證
- 19. 來自AJAX的表單身份驗證和POST請求
- 20. MySQL未經身份驗證的用戶
- 21. bulkloader.py - 未經身份驗證的轉儲
- 22. 如何在Google身份驗證中將api密鑰用於公開請求?
- 23. Web API請求 - 發回身份驗證請求
- 24. 自定義身份驗證 - 用戶登錄但未經過身份驗證
- 25. OAuth Java中的經過身份驗證的請求
- 26. validate()函數如何停止假身份驗證請求?
- 27. Neo4j的基本身份驗證請求
- 28. HTTPS請求,Android中的身份驗證
- 29. 禁止公共訪問請求
- 30. 身份驗證請求事件處理程序 - 自定義身份驗證IIS
在這裏類似的問題可能會有所幫助:http://stackoverflow.com/questions/28136710/determine-if-request-is-local-in-node-js-app – petryuno1
@ petryuno1我不這麼認爲。我們關心的是如何確保請求只來自我們的網站js,而不是本地或不是。 – springuper