使用SPA框架使用RESTful SPA服务

Question

我想有一个轻量级的应用程序，这将消耗RESTful网络服务。不再有业务逻辑。

我已经使用CodeIgniter REST客户端实现了相同的功能。但是仍然不知道如何使用Backbone/AngularJS来处理同样的问题。我担心将web服务的URL展示给公众。

如何在不向公众显示web服务URL的情况下调用backbone或angular中的web服务。如何隐藏web服务URL？zoho/asana是如何处理web服务调用的？是否可以隐藏/加密web服务URL？

使用Angular或Backbone的安全性如何？

Answer 1

我不建议尝试隐藏或加密web服务URL。如果你的程序可以找到并解密它，那么其他任何人都可以。

我建议您使用API密钥或某种其他类型的身份验证来保护API。使用API密钥，您可以在服务器端生成可返回给浏览器的哈希。浏览器看不到API密钥本身，只看到散列。然后，API可以评估散列以确保其匹配。

包括时间戳可以确保散列不会被无限期地重用。请参阅以下示例：http://www.infoq.com/news/2010/01/rest-api-authentication-schemes