Варианты усиления доступа к анонимным API

Question

Варианты усиления доступа к анонимным API

Мне нужен совет о том, как защитить или усилить доступ к анонимным REST API. Доступ к API будет осуществляться через веб-приложение на основе браузера. Это веб-приложение не требует аутентификации пользователя, поэтому я полагаю, что токены OAuth не подходят. Цель состоит в том, чтобы защитить эти API от использования неизвестными приложениями / источниками.

0

api rest security browser-based

Источник

29 сен '21 в 23:37

1 ответ

Другие вопросы по тегам api rest security browser-based

user831460 30 сен '21 в 09:23 2021-09-30 09:23 · Answer 1 · 2021-09-30 09:23

Невозможно.

Вам нужен какой-то секрет, который будет совместно использоваться клиентом и сервером (файл cookie сеанса, токен jwt, токен api, ...), чтобы убедиться, что никакая третья сторона не использует ваш api.

Если у вас его нет, вам остается занести IP-адреса в белый список (обычно не работает) или оценить исходный заголовок (я могу легко обойти его с помощью curl). С другой стороны, проверка происхождения может быть лучше, чем ничего, просто помните, это не пуленепробиваемое .