实际上我有一个叫做更新用户数据的API,当用户从一个页面移动到另一个页面时会调用它。如果用户从控制台复制API并在邮递员中发帖,则用户无法更新用户数据。如何提供安全性或实现功能,以便不通过post man更新数据。
答案 0 :(得分:0)
你真的不能。
你可以稍微使用一些CSRF保护变得更难,但就是这样 - 它只会让它变得更难,但不能阻止任何人的决心。
如果您的API是公开的,那么您应该已准备好让用户拥有自定义客户端应用。
答案 1 :(得分:0)
我对你的问题感到有点困惑。因为PostMan或其他应用程序(如Fiddler)的创建是为了使开发人员在开发过程中更轻松地完成工作。无论如何,如果您担心谁会打电话给您的网页,您可以将您的API设为私有,只是授予具有正确凭据的用户访问权限。您还可以阅读 CSRF 或 XSS 。