标签: javascript asp.net-mvc asp.net-web-api
我有一些Web API端点,我想保证只有我们的应用程序\代码可以访问。
我们已经实现了基于令牌的身份验证系统。问题是有人可能会检查来自桌面的流量,提取令牌,并使用嗅探到的令牌针对我们的端点进行脚本调用。
基本上,我想保证API调用仅来自我们的客户端代码。我曾考虑过可能对令牌客户端进行加密,然后对服务器端进行解密以检查源,但是由于可以检查我们的客户端JavaScript代码,因此有可能复制加密方法。
我确定那里有罐装解决方案...我只是不确定从哪里开始。有什么想法吗?