我已经部署了一个由 Django Rest Framework 提供支持的 Django API,其中包含一些开放端点和一些使用令牌身份验证的 Authenticated 端点。
保护入口 API 的最佳方式是只允许从应用前端团队发送请求? 我想使用 Nginx 基本身份验证,但是 Authorization 标头重复,因此令牌身份验证不起作用。
答案 0 :(得分:0)
您可以通过过滤 IP 地址来过滤 API 中的访问,以防前端团队使用静态地址(例如 ALLOWED HOSTS)。
此外,您可以将前端团队的用户添加到特定组中或提供相同的角色,并通过实现可重用的自定义 DRF 权限来过滤访问权限。
另一种选择是使用自定义 HTTP 标头或 API 密钥(例如 X-API-KEY 标头)。