[英]REST API request authentication
我一直在尝试整个 MEAN 概念,即为您的前端访问提供 REST API,等等。
如何验证对我的 API 的请求是否来自正在进行的会话? 我可能让 Angular 部分在每个身份验证请求中发送的任何“令牌”,都可以被任何好奇的人查看以寻找它。
所述人可以获取该令牌并向 API 发出“经过身份验证的”请求,直到奶牛回家。 你如何解决这个问题?
即,我不希望拥有令牌的人使用 API 来访问可能对用户等敏感的信息
您可以使用多种机制,例如 CSRF 和 CORS 来确保请求来自给定的域名(即您自己的网站)
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.