gpt4 book ai didi

java - 保护 Restful api 调用

转载 作者:行者123 更新时间:2023-11-30 10:25:41 24 4
gpt4 key购买 nike

我有一个使用 AngularJS 开发的应用程序作为前端,Java 作为后端。

我面临的问题是,如果用户登录到应用程序并搜索特定数据,将会有一个带有负载 JSON 的 API 调用发送到服务器,作为响应我们将得到JSON 中与搜索参数相关的数据。

这里的问题是用户可以打开开发者工具并复制 API 的 URL 和 JSON 负载,然后在 PostmanDHC 客户端 中发布相同的数据并获得响应 JSON更重要的是,他可以更改与 Angular 色相关的数据并获得与其他 Angular 色/用户相关的搜索结果。

我的问题是如何保护 API 免于直接从其他来源调用和更改负载。

最佳答案

您的浏览器通过 JavaScript 客户端应用程序发送的请求与从任何其他工具(如 Postman 或其他工具)“手动”发送的请求之间没有根本区别。通常没有安全问题,除非您的所有请求都受到任何身份验证机制(如 OAuth)的保护,或者只是通过每个请求传递的一些 secret API key (在这种情况下,这些 API key 应该仅属于特定的经过身份验证的用户!)。

请记住,保护您的系统免受恶意或不安全操作侵害的安全层应该仅位于服务器端,而不是客户端应用程序。这意味着特定用户可以从客户端应用程序完成的所有事情都可以由同一用户以“手动”模式从任何其他工具(如上所述)完成。

关于java - 保护 Restful api 调用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46032783/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com