如何避免從代理服務器和代理工具（如fiddler）的API跟蹤

Question

我正在使用Fiddler工具和iam獲取API請求，並用參數響應甚至認爲其HTTPS Web應用程序。如何避免這種情況，我不想通過使用任何代理工具來顯示我的API請求和頭。你可以有人引導我

Answer 1

你想要什麼是不可能的。

您的API是從客戶端調用的。客戶端上的任何東西都由該客戶端的所有者控制，即。您的最終用戶。他可以選擇在服務器發送應用程序時運行應用程序的客戶端（大多數人以正常方式進行），或者他可能決定調查，理解或修改任何客戶端代碼。這顯然包括開始瞭解您的API。

換句話說，客戶端（即客戶端瀏覽器中的應用程序）需要知道如何與API交談。但具有應用程序的客戶端瀏覽器完全由客戶端用戶控制，因此他也將擁有這些知識。

好東西是，你沒有理由隱藏你的API結構。如果安全性得到正確實施，您的API端點和調用可以公開，您的應用程序仍然是安全的。

作爲旁註，HTTPS在這裏沒有幫助。把HTTPS想象成一個隧道，沒有人能夠穿過牆壁，但任何人都可以在隧道的兩端看。一端是你的服務器，另一端是客戶端。因此，安裝在客戶端上的Fiddler可以查看來自/到該客戶端的HTTPS流量（實際上它有點複雜，但我們現在就來看看）。但是，Fiddler或其他任何東西都無法查看Fiddler用戶無法控制的端點之間的HTTPS流量（再次，這有點簡化）。簡而言之，如果配置正確，HTTPS是安全的，但它只保護通道，並且端點超出了HTTPS的範圍。