我有一个用Python编写的API数据库(Flask)。我想构建一个前端,它向API发出请求并显示数据。但我想控制对API的访问。
我无法实施授权,因为我的网络应用是public client类型(根据Oauth RFC) - 因此无法安全地存储凭据以验证应用。我不需要用户身份验证(Web应用程序是一个带有交互式过滤器和购物车的简单目录)。
所以我需要以某种方式保护JS代码(uglifying / obfuscating是不够的,因为我有URI的ajax请求)或以某种方式重建整个Web应用程序来隐藏Ajax请求并保护API。
有没有人有任何想法和提示如何在没有用户身份验证的情况下保护API +前端Web应用程序?
它应该是微不足道的,因为有许多产品目录以交互方式工作,如tesco及其过滤机制。但我不明白怎么做。
你能提一下吗?