作者broo (比尔盖兹)
看板Soft_Job
标题[请益]菜鸟问api设计问题
时间Sun Jan 7 20:30:44 2018
不知道在哪个版问..
我是刚毕业的新鲜人,原本做前端,但公司日後要开发一个简易小系统,叫我之後可以学
一下怎麽设计api。
我是用express做的。有个问题是遇到跨域的状况时,有查到说要写上
Access-Control-Allow-Headers :*
所以我好奇为何postman测试的时候都不会有跨域问题,有查到说跨域问题是浏览器同源
策略的安全限制,postman只是类似代理所以不存在这个问题。
那这样别人拿到我的api在本机用postman乱改不就会直接改到我的资料吗?
不知道有没有解释清楚,请问各位是如何设计自己api的安全机制呢?谢谢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.27.140.93
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1515328246.A.7A9.html
1F:→ tw689: 你在浏览器中就会被挡,还有你api要有验证机制01/07 20:32
2F:→ tw689: 你在浏览器中就会被挡,还有你api要有验证机制01/07 20:32
3F:→ tw689: 这样user要乱改只能改自己的资料01/07 20:32
好的,我再看看
4F:推 dali17dali17: 要保护好自己的API01/07 20:39
※ 编辑: broo (114.27.140.93), 01/07/2018 20:41:02
5F:→ nova06091: 男森真的要好好保护自己 01/07 20:44
6F:推 abccbaandy: 後端API最重要的观念就是不要相信前端阿XD 01/07 20:48
7F:推 Masakiad: 你想问的应该是怎麽限制非授权使用者存取api,web可以 01/07 21:20
8F:→ Masakiad: 考虑session jwt这些方案 01/07 21:20
9F:→ PTTCEO: API的AA 跟 Browser的CORS 是两件不同的事情 01/07 21:34
10F:推 vi000246: api本身要有验证机制 cors只能防君子 不能防小人 01/07 21:37
11F:→ ssas1115577: 後端如果都相信前端就会变成之前统联客运事件 01/07 22:05
12F:→ broo: 谢谢各位的解答! 01/07 22:42
13F:推 jack0204: 对方要有设定资讯来跟你要token,然後才能用token换资料 01/07 23:14
14F:→ jack0204: 可以参考google跟fb怎麽做的 01/07 23:14
15F:推 alice822: Keyword auth 01/08 07:52