所有
我需要一点指导。我有一个处理Google oAuth的Polymer前端,允许用户在应用中使用。前端从oAuth捕获用户的电子邮件地址,并将其用于GET请求到我在后端构建的Flask API。我没有在我的Flask API中构建身份验证,因为我没有想到我需要,因为我有Polymer作为看门人。我意识到,如果他们想要捕获其他用户的数据,那么人们可以看到源代码并重新使用API URL。
我正在寻找有关如何锁定API后端的指导,因为我只在前端使用Google oAuth。
谢谢,
马科斯
答案 0 :(得分:0)
我不确定这是否是正确的答案,但无论如何我都会发布我的结果。如果错误,请发送反馈。我将让我的前端在每次API调用时从头部的auth进程发送用户访问令牌。我的后端API将获取该访问令牌并使用它来查询Google API以查找令牌所创建的电子邮件地址。如果电子邮件与API调用请求数据的电子邮件匹配,则将返回数据。如果没有,它将返回错误。