我们的API(由第三方提供)使用令牌以确保仅授权访问。我们的新网站不应该是服务器到服务器,而应该是前端,即令牌在脚本中可见。我们现在正在检查如何为前端网站保护API,我必须向我的老板提出建议。但是,我从来没有做过API保护的事情,请你告诉我在哪里阅读/提供最先进的解决方案来帮助我?
我已经开始研究OAuth1a,OAuth2,OpenID,但还不能(还)真正指明进一步调查。
答案 0 :(得分:0)
您仍然应该使用令牌,但您必须确保该令牌不授予您对API的完全访问权限。
令牌需要特定于使用该应用程序的用户,并且该令牌只能授予对该用户可以执行的特定功能的API访问权。
现在,我将忽略OAuth1和OpenID,仅查看OAuth2。那里有足够的功能可以做你想做的事情,而且比其他功能更简单。