[英]Securing API with Node
我正在嘗試構建我的第一個API,由使用Ionic構建的移動應用程序使用。
在開始之前,我正在研究架構,我無法准確理解如何使我的API路由安全。
假設我有一個端點,例如http://myapi/v1/get-items
,我的應用程序不需要用戶進行身份驗證即可在移動應用中查看這些項目。
我應該如何使用Postman保護該路線免受外部查詢的影響?
我希望除非申請沒有要求,否則無法訪問該路由。
在Google上查看我可以找到許多使用基本身份驗證的解決方案,但所有這些都需要用戶登錄...如果我的應用程序沒有用戶登錄怎么辦?
我有點困惑,但我認為有一個解決方案,我還不知道...
我希望你能幫助我理解它。
編輯 :
我的問題與以下內容完全不同: 如何使用node.js實現安全的REST API
我正在尋找解決方案, 不需要用戶認證。
如果您不想通過Passport之類的方式使用User Auth,則可以在Node API中建立白名單。 express-ipfilter是一個快速中間件模塊,允許您基於請求IP過濾請求。
要求登錄將是確保您的api保持私有的最干凈,最安全的方法。 但是,如果您希望外部用戶不使用服務而不需要登錄,則需要“簽名”您的請求。 我的意思是做一些事情,比如使用服務器和客戶端應用程序都知道的密鑰加密客戶端上的當前時間戳,將加密的字符串添加為標頭,在服務器中接收該標頭,解密它並檢查它是否也不是在返回響應之前的舊時間戳。
這不是很安全(如果有人可以看到他們可以看到加密密鑰的代碼),但這是一個障礙而且不需要登錄。請參閱此示例了解加密/解密
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.