我的客户端有一个Angular应用,后端有一个node.js服务器。
我想知道如何以某种方式保护我的其余API,即它仅接受从我的Angular应用发出的请求。
我曾考虑过在每个请求中都发送一个密钥,但这将毫无用处,因为每个人都可以复制该密钥并发出请求,例如Postman。
使用请求的Origin可能也是一个糟糕的解决方案,因为这很容易伪造。
我也有创建一次性密钥的概念,因此对于每个有效的请求,必须有一个唯一的密钥。但是,这个一次性密钥必须发送到客户端,这使得该解决方案再次变得不够。
P.S .:我想在我使用JWT的授权系统旁边实现此安全机制。因此,使用Authorization标头的任何其他实现都会干扰。