这里的接口:从后端使用app_id和app_code，安全防护前台域名

Question

我有一个单独的前端(单页应用程序)，这是利用这里的地方API自动建议功能。然而，访问这里rest API的应用程序逻辑的其余部分位于后端。这些服务位于不同的云实例上。

我可以通过在HERE项目页面的“针对特定域的安全应用程序凭据”中使用前端SPA域来保护API凭据。这会从后端阻止API的使用。有没有办法保护凭据不受这两种服务的影响？

Answer 1

您可以尝试HERE无服务器应用程序方法。它们提供了AppID和AppCode的安全性:因为它在一个中央云中，无服务器应用程序被复制并在每个客户端应用程序中使用。点击这里了解更多信息，https://www.here.com/en/aws-serverless。

更新:如果你不能使用Serverless，你也可以在开发者网站的项目中添加最多10个允许的域名。

Answer 2

我绕过了这个问题，为有域名限制的前端和没有域名限制的后端创建了单独的项目。

这不是一个优雅的解决方案，但它有效，它很简单，如果我必须阻止一个项目，以防有人劫持密钥(所有通过浏览器发送的东西都可以被用户读取)，它只是一些动态地图，在我更新网站之前不会起作用。其他所有内容都通过服务器进行路由。