我即将创建一个REST API,为移动应用提供资源,其中包括 iOS & Android 智能手机。
现在我担心限制我的API只提供来自应用程序的请求,这意味着如果请求是通过浏览器完成的,那么我应该否认它。原因是我担心XSS攻击等。
我现在在想什么?如果不是,那么我应该如何判断请求者来自应用程序?
答案 0 :(得分:0)
您可以立即使用并确保REST端点安全对于确保您对服务器资源的请求进行身份验证/授权/控制非常重要。
以下是讨论一些最佳做法的主题:Best Practices for securing a REST API / web service