API和前端开发

Question

我们目前正在使用API和前端JS库实现一个web应用程序。目前从安全角度引起的一个关切是：

这是在前端代码中公开这些API调用的问题吗？因为这将是一个公共网站，API调用的一个例子就是获取所有可用的产品。网页是否有可能用API调用显示所有可用的产品(用户无需登录)，但不允许其他人在网站之外进行此调用(例如使用像fiddler这样的工具)？

我想我正在寻找一种体系结构模式和/或在公开访问的网站前端使用API的最佳实践。

任何指导/链接都非常感谢

Answer 1

api本身可以限制http请求从使用各种方法进入的位置。根据您正在使用的语言/平台，您可以完全控制谁/什么可以实际对您的API执行http请求。

大多数人只会使用CORS作为一个非常基本的解决方案。如果未经授权的HTTP请求不是API本身列出的白色请求，CORS将阻止它们进入。