标签: node.js security mobile backend api-key
我和我的团队目前正在为移动应用程序开发ExpresJS REST API,但我们对安全性有一些担忧。
基本上,我们希望仅从应用程序使用API,而不从其他客户端使用。我们已经通过JWT实现了用户身份验证,唯一的公共端点是signUp和login端点,但是我们无法保证有人可以从第三方客户端使用这些端点,获取JWT并以某种方式提取私有端点并通过JWT被盗。
如果我们使用静态API密钥(与以前一样),则有人可能会窃取它并提出请求。
关于如何实施仅接受我的应用程序请求的策略的任何想法?谢谢:)