簡體 English 中英

我是否需要保護SPA的僅GET支持的REST API

[英]Do I need to secure a GET-only backed REST API for a SPA

原文 2018-08-26 19:29:12 6 1 javascript/ rest/ authentication/ authorization/ single-page-application

我有一個JavaScript SPA，它使用了用Django（Django Rest Framework）構建的后端REST API。 這是一個小型學術項目，很可能會定期吸引數百名用戶。 我們的初始設計假設用戶可能希望保存數據，但是最近與潛在客戶的咨詢使我們懷疑我們是否需要合並此功能。 因此，這將完全消除對后端API的POST請求的任何需求，僅保留GET。 這些GET（通過axios）僅包含路徑參數，不包含查詢參數，並返回小的JSON有效負載，用於在應用程序中呈現SVG組件（此數據是只讀的靜態數據，已經存儲在后端db中）。

滿足用戶上載的假定需求使我們也增加了用戶登錄/注銷和帳戶管理功能。 我們甚至開始考慮集成Auth0。 但是，如果我們完全刪除用戶上載，我們是否還需要以這種方式保護我們的API端點？

1 個解決方案

從OP中給出的答案是，不，您不需要身份驗證。

不管使用哪種HTTP動詞，只要問問自己，您通過REST API公開的功能是什么，至少，您是否想知道誰在使用API做過什么？ 如果不是，則不需要身份驗證

基本上，

您是否要限制對任何API的訪問？
您想將動作綁定到任何角色嗎？
您要審核（誰在什么時候做了什么）？

如果對所有這三個答案均為否，則不需要身份驗證。

如何使用Google身份驗證保護REST API

[英]How do i secure a REST API with google authentication

REST api支持的JavaScript表

[英]A REST api backed JavaScript table

SPA，使用oauth2 api的網站 - 我需要csrf保護嗎？

[英]SPA, website using oauth2 api - do I need csrf protection

保護公共REST API

[英]Secure a public REST API

如果我執行以下操作，Cloudinary API 是否安全

[英]Is Cloudinary API secure if I do the following

如何在 SPA 上使用隨機生成的 API 密鑰？

[英]How do I use a randomy generated API key on a SPA?

REST API：安全處理Java SPA中的身份驗證

[英]REST API: Securely Handle Authentication in a Javascript SPA

安全Ajax呼叫On Rest Api

[英]Secure Ajax call On Rest Api

如何使用Cognito保護AWS API Gateway？

[英]How do I secure an AWS API Gateway with Cognito?

如何保護JavaScript / Ajax客戶端[apigee]中使用的API？

[英]How do I secure an API that is used in a JavaScript/Ajax client [apigee]?

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 如何使用Google身份驗證保護REST API REST api支持的JavaScript表 SPA，使用oauth2 api的網站 - 我需要csrf保護嗎？保護公共REST API 如果我執行以下操作，Cloudinary API 是否安全如何在 SPA 上使用隨機生成的 API 密鑰？ REST API：安全處理Java SPA中的身份驗證安全Ajax呼叫On Rest Api 如何使用Cognito保護AWS API Gateway？如何保護JavaScript / Ajax客戶端[apigee]中使用的API？

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM