[英]Do I need to secure a GET-only backed REST API for a SPA
我有一個JavaScript SPA,它使用了用Django(Django Rest Framework)構建的后端REST API。 這是一個小型學術項目,很可能會定期吸引數百名用戶。 我們的初始設計假設用戶可能希望保存數據,但是最近與潛在客戶的咨詢使我們懷疑我們是否需要合並此功能。 因此,這將完全消除對后端API的POST請求的任何需求,僅保留GET。 這些GET(通過axios)僅包含路徑參數,不包含查詢參數,並返回小的JSON有效負載,用於在應用程序中呈現SVG組件(此數據是只讀的靜態數據,已經存儲在后端db中)。
滿足用戶上載的假定需求使我們也增加了用戶登錄/注銷和帳戶管理功能。 我們甚至開始考慮集成Auth0。 但是,如果我們完全刪除用戶上載,我們是否還需要以這種方式保護我們的API端點?
從OP中給出的答案是, 不 ,您不需要身份驗證。
不管使用哪種HTTP動詞,只要問問自己,您通過REST API公開的功能是什么,至少,您是否想知道誰在使用API做過什么? 如果不是,則不需要身份驗證
基本上,
如果對所有這三個答案均為否 ,則不需要身份驗證。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.