我有一个通过JavaScript调用我的后端REST服务的公共SPA。如何保护REST服务,使其只接受来自我的SPA的呼叫,而不接受其他客户或用户的呼叫?
我能想到保护它的任何方式都会涉及存储某种秘密,但是因为SPA完全用JavaScript编写,所以任何人都可以查看来源。
答案 0 :(得分:0)
保护API的最常见做法是API密钥和API的组合。使用SSL(https)
以下是一些指向正确方向的链接:
理论值:
http://www.slideshare.net/jfaustin/securing-your-api(从幻灯片17开始) https://security.stackexchange.com/questions/18684/how-to-implement-an-api-key-mechanism
实践:
也是,pluralsight(http://www.pluralsight.com/training)
有关于该主题的惊人视频(不幸的是付费会员资格)更多!
希望有所帮助