我的平台使用AJAX与内部结构(API&#39;等)进行通信。所有AJAX个请求都会发送到一个名为globalAPI.php (POST方法)的文件中,并在那里与其他php文件通信(这样做是为了隐藏内部结构)。< / p>
假设用户发现它是如何工作的,并从他的服务器开始发出请求。我们可以得出结论,即使没有登录我的平台也会生成结果。
那么如何保护此文件为外部访问?
我相信我可以将.htaccess文件与Allow from 127.0.0.1一起使用,但是如果用户将其IP更改为127.0.0.1,他将有权访问此文件吗?
有另一种保护此文件的方法吗?
答案 0 :(得分:3)
如果要限制其访问权限,则应在所有API调用中实施身份验证系统。
基本上,您无法阻止用户从Devtools打开“网络”选项卡并观察客户端对服务器API发出的请求:高级用户可以查看每个请求发送的参数,并使用相同或相同的方式重新发送请求不同的参数。
如果可以通过AJAX访问此文件,则无论如何都可以访问客户端:您需要做的是确保用户无法访问比AJAX调用允许的更多内容。为此,请保护您的API,例如为每次调用请求用户令牌:服务器将知道哪个用户访问API,您可以从该点处理授权。