纯Javascript前端连接到BaaS(可以这样做吗?)

时间:2015-01-08 17:48:23

标签: javascript security web-applications obfuscation frontend

我决心在单独的服务器上使用Ajax连接到后端的纯Javascript前端(使用JS和GWT)。我担心的是安全问题。

Pure Front-end应用程序的解决方案是什么?

例如,用户生成的内容网站:

  • 当我们从应用程序的角度来看它时,它需要让用户登录,所以在这里Oauth可以接管。该应用程序已正确验证,对任何内容的访问权限取决于授权。
  • 问题在于:对于允许匿名用户无需登录即可查看用户生成内容的应用程序,因此Oauth无法进行。

连接到BaaS:

  • 没有Java中间件来存储Baas访问的应用程序密钥(例如Kinvey等)
  • 即使模糊处理,也可以轻松地从HTTP请求中窥探应用程序密钥。

什么是纯Javascript前端连接到BaaS或独立后端的解决方案?在保护应用程序密钥方面? Baas或独立后端可以知道是否要向请求客户端(甚至是Web应用程序)提供数据,因为它不是来自同一个域。

0 个答案:

没有答案
相关问题
最新问题