我正在开发一个Rest Api,它将从javascript中消费。
因此,如果我使用基本身份验证,则客户端浏览器上运行的java脚本上将显示用户和passoword(以base64编码)。
如何保护我的API?我是否必须使用CORS(https://en.wikipedia.org/wiki/Cross-origin_resource_sharing)来保护它? 对不起新手问题。
答案 0 :(得分:0)
评论对话中的注释:
我认为你必须个性化身份验证,我认为这对基本身份验证不可行/实用。我推荐某种freeradius + OAuth,因为您有其他网站上的用户身份验证。
答案 1 :(得分:0)
为了保护API,APIGEE建议使用不同的基于身份验证的安全技术stormpath。
OAuth 2.0 OAuth 1.0a
理想情况下,您应避免使用基本身份验证,这不是最佳做法之一。