express网关密钥-身份验证校验域

Question

Express gateway允许使用密钥验证来限制对特定用户/应用程序的访问。

然而，当涉及到webapp时，这意味着您不能在客户端隐藏凭据(从某种意义上说，它是公共信息)。

通常，您会希望只允许来自某个域的请求，就像我在Google Maps中看到的那样。

如何使用express-gateway实现这一点？

Answer 1

在这里找到它：

policies:
  - cors:
      -
        action:
          origin: http://www.example.com
          credentials: true

开发工具不关心CORS，但这不是问题。

主要目标是避免其他应用程序使用api密钥，网关可以进行速率限制。

Answer 2

Express建议使用TLS进行从客户端到服务器的通信。但是，如果这不是您在这里需要的用例，那么这里列出的其他一些建议可能会有所帮助：https://expressjs.com/en/advanced/best-practice-security.html