Question

我一直在考虑我的API，需要澄清一些事情。

公共网站使用的API上的身份验证路由是否可以是私有的？ 通过身份验证路由我的意思是，我检查用户名和密码是正确的登录。

我想API的某些路线可能是私有的，例如，为照片添加评论，用户需要登录并且可以检查令牌等。

但我不知道其他路线是如何制作的。

这是否意味着我可以获得某个网站的路线并尝试“抨击”该网站有用户名和密码？如何让公司减轻这种影响 - 我认为会有一些安全措施？

感谢。

Answer 1

制作路线＆＃34;私人＆＃34;在做某事之前，你需要创建一个middlware来做所有必要的验证

function validationFunction(req, res, next) {

    // do any checks you want to in here

    if (can the route proceed) //you decide how to do this
        return next();


    // if the route cannot proceed
    res.redirect('/');
}

在路线中使用

module.exports = function(app) {

    app.get('/yourRoute', validationFunction, function(req, res) {
        //executes what the route should execute
    });

};

如果路线是公开的，这意味着它没有公开的问题，并且据称采取了所有安全措施。

API - 验证路由可以是私有的吗？

1 个答案: