如何在使用AJAX时保护REST API?

时间:2016-05-26 05:55:07

标签: ajax api rest security

有2台服务器的SNS应用程序。 Web后端服务器和REST API服务器。

  1. Web服务器允许用户使用用户名/密码登录/注销,并显示用户信息
  2. REST API服务器提供像/ topics,/ comments这样的API,它应该是无状态的无会话
  3. REST API将为其他Web应用程序提供服务

    4. 有一些潜在的解决方案,但安全性也没有。

    1. Base Auth,浏览器保留用户名/密码
    2. 具有到期时间戳的令牌,问题是用户可以留在页面上直到令牌过期

      3. 那么,有没有办法在从AJAX调用它时保护REST API?

1 个答案:

答案 0 :(得分:0)

如果我已正确理解您的问题,我建议您使用令牌解决方案。为了保持安全性,您可以在每个请求上生成新令牌(并将其发送给客户端作为响应),该令牌应该用于发出下一个请求,如果曾经使用过期或已经过期,则禁用令牌。

抱歉,我打算将其作为评论提及,但我没有足够的声誉。

相关问题
最新问题