隐藏客户端API调用

时间:2015-12-26 20:50:20

标签: javascript angularjs api security

我正在制作一个小应用程序(.Net web api后端服务和angularjs for frontend)只是为了学习这些框架,开始喜欢项目本身,并认为部署它会很好......

然而,我的.net休息服务是公开的,目前任何人都可以通过api对象暴露出来,显然我不希望有人偶尔清理一下我的数据库。我并不真正存储任何敏感信息,它是小型网页游戏,我在数据库中存储的内容包括项目,位置,游戏大厅,玩家(仅限id,用户名和参考列),但仍然在删除它们会在某处造成大问题。

那我该怎么办呢?我的第一个想法是,只要没有人通过某种方式隐藏用户的API调用来发现我的api地址,它就会被解决。这是可行而现实的解决方案吗?

1 个答案:

答案 0 :(得分:2)

您无法隐藏客户端的API调用,无论您做什么,他们都可以使用Wireshark之类的数据包嗅探器来查看您的应用正在执行的操作。

您需要构建一个更安全的API,只允许用户操纵他们的帐户。您可以通过分配令牌来控制其访问权限,例如oAuth的工作方式。