通过JavaScript保护内部REST服务调用

时间:2014-03-22 03:24:46

标签: rest single-page-application

我有一个通过JavaScript调用我的后端REST服务的公共SPA。如何保护REST服务,使其只接受来自我的SPA的呼叫,而不接受其他客户或用户的呼叫?

我能想到保护它的任何方式都会涉及存储某种秘密,但是因为SPA完全用JavaScript编写,所以任何人都可以查看来源。

1 个答案:

答案 0 :(得分:0)

保护API的最常见做法是API密钥和API的组合。使用SSL(https)

以下是一些指向正确方向的链接:

理论值:

http://www.slideshare.net/jfaustin/securing-your-api(从幻灯片17开始) https://security.stackexchange.com/questions/18684/how-to-implement-an-api-key-mechanism

实践:

(。net)http://blogs.msdn.com/b/rjacobs/archive/2010/06/14/how-to-do-api-key-verification-for-rest-services-in-net-4.aspx

也是,pluralsight(http://www.pluralsight.com/training

有关于该主题的惊人视频(不幸的是付费会员资格)更多!

希望有所帮助