我在系统的初始设计中遇到了一个问题,该系统将敏感信息发送到前端,而前端负责调用第三方API。您可能已经猜到它极易受到攻击。为了解决这个问题,我添加了一个后端系统来代理这些请求,并代表前端调用第三方API。这种方法的问题在于它根本无法扩展。我目前正在寻找另外15台服务器来处理当前的负载,并且它正在逐日增加。
有关如何删除此后端要求的任何建议?有什么方法可以使前端仍然调用API并保护数据?
答案 0 :(得分:0)
因此,您只想吃蛋糕并吃一个蛋糕。抱歉地说,但是根本没有解决此问题的方法。一旦将秘密传递给客户端,他就可以做他想做的任何事情,包括调用API的人都没有想到。为了更好地理解它,可以使用Burp或OWASP ZAP之类的转发代理。您将看到在离开浏览器和每个响应之后,在到达浏览器之前修改每个请求是多么容易。
作为代理的后端系统通常在优化方面还有一些改进的空间,所以我可能会专注于此。