我目前正在为一个网站开发一个 API,但该网站不需要登录即可使用,因此该 API 必须在没有个人用户身份验证的情况下工作。目标是防止 API 被第三方使用。
有没有办法保护API仅由我的网站使用,而不使用登录身份验证来防止第三方调用后端服务。
我研究过 CORS,但这似乎不是一个强有力的保证。另一个想法是旋转 API 密钥。在这些情况下通常使用什么?
您可以在 Apache Web 服务器中设置 ProxyPass 配置,以将您在前端执行的请求重定向到后端,这样后端端点将被隐藏。
我给你看一个例子......
ProxyPass "/foo" "http://yourbackend.com/bar"
ProxyPassReverse "/foo" "http://yourbackend.com/bar"
这样所有的请求yourfrontend.com/foo将被重定向到yourbackend.com/bar当您打开导航器的控制台时,您只会看到对 yourfrontend.com/foo... 的请求。
当然,如果有人找到后端网址,就可以访问。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)