加强匿名API访问的选项
我需要一些关于如何保护或加强匿名REST API访问的建议。API将由基于浏览器的Web应用程序访问。这个Web应用程序不需要用户身份验证,因此我认为OAuth令牌不是一个选项。其目的是保护这些API不被未知的应用程序/源使用。
共有1个答案
不可能的
您需要在客户端和服务器之间共享某种秘密(会话cookie、jwt令牌、api令牌等)确保没有第三方使用您的api。
如果你没有,你只剩下白名单IP地址(通常不起作用)或评估原始标头(我可以很容易地用curl绕过它)。另一方面,检查原产地可能比没有好,记住,这不是防弹的。
-
问题内容: 除了使用反射来访问匿名内部类的成员之外,还有其他方法吗? 问题答案: 匿名内部类具有类型,但没有名称。 您可以访问未由命名超类型定义的字段。但是,一旦分配给命名类型变量,该接口就会丢失。 显然,您可以从内部类本身内部访问字段。添加代码的一种方法是通过实例初始化程序: 匿名内部类表达式返回的值具有匿名类型,因此您有机会在类本身之外使用它: 您也可以通过声明类似于以下内容的方法传递它:
-
在调试级别进行日志记录时,我看到了Spring Security的以下反馈: 我试图实现的是有一个可以在任何时候调用的方法,它将发送一个答复,指示请求是否在登录的会话中。
-
我以为我对自己正在做的事情有很好的把握,但每当我觉得我对某事有很好的把握时,我被证明是错的:) 当我不在匿名类中时,我可以简单地执行 有人能解释为什么我可以调用方法,但不能在intent参数中使用吗?
-
我有一个方法,我想允许匿名和身份验证访问。 我正在使用Spring Security3.2.4和基于java的配置。 在调试级别进行日志记录时,我看到了Spring Security的以下反馈: 我试图实现的是有一个可以在任何时候调用的方法,它将发送一个答复,指示请求是否在登录的会话中。
-
我用Spring Security和OAuth2保护了我的Spring REST API,我可以成功地检索令牌并访问我的API。我的应用程序自定义了OAuth2客户端。 当我添加第二个antmatcher/anonymous时,它就无法工作,而且它也没有真正表达我的意图--例如,我不想对GETs进行匿名访问,而是在POSTs上进行身份验证(使用很容易做到)。 如何使OAuth2身份验证可选?
-
我的要求是从网页发送whatsapp消息。因此,它应该是一个单一的页面,将有字段的移动号码,消息和发送按钮。 我从脸书找到了文档,我们需要为此获得whatsapp业务api。我还看到一些其他工具,如twilio来实现这一点。令人困惑的是,如果我们可以使用whatsapp业务api本身来实现它,为什么我们需要twilio所以,我的问题是,twilio或其他第三方工具真的需要访问whatsapp ap