我在SPA *上工作很多。因此,我使用基于API的后端来获取SPA-ORM *的实体数据。这很简单,工作正常。
现在我正在开发一个将被许多人使用的私人项目。我希望在没有SPA的情况下防止我的API的误用。 有没有办法让脚本小子滥用API有点困难?
回到我的时代:D我曾经使用简单的密钥来加密非常低级别的数据。但是使用f.e.的当前开发工具。 chrome可以轻松调试SPA中的任何内容以及数据如何被加密/升级。我只是出于选择。
我对确保连接不感兴趣,因为SSL对我来说已经足够了。用户密码安全性也足够安全(现代框架在这里做得很好)。我只是缺乏知识,如何在没有SPA的情况下更难使用API。 我正在开发两端,所以我能够制作任何我喜欢的API - 你有提示,最佳实践,想法吗?
脚注: