当您通过ajax调用URL时,我的网站会返回包含数据库结果的JSON字符串。它实际上是公开的。我的意思是每个人都可以向我的网站发送ajax请求并简单地得到结果(目前我的网站就像一个免费的API)。
现在我要做的就是验证所有请求并只响应已知的请求。所以我想我需要在每个请求中传递一个令牌以进行识别。
我的问题:我该如何制作(其他人无法)?我应该如何在服务器端识别该令牌?
答案 0 :(得分:0)
如果您的“网站”和调用您网站的“应用”位于同一个域中。然后这可以在服务器端完成。
首先CORS将阻止任何java脚本应用程序在另一台服务器上复制您的客户端代码并调用或缺少。
二。在您的服务器上,只需检查所有来电是否来自同一个主机或您要允许的主机。这将拒绝任何不是源自您控制的同一域的呼叫。
我不知道您使用的语言是什么,所以我无法发布代码。
答案 1 :(得分:0)
我建议您使用jwt进行授权。 U可以通过要求用户首先登录并在成功请求时使用令牌进行响应来实现此目的。然后,此令牌将用于后续请求