React App和node.js后端api安全抓取
我最近在服务器上安装了一个React应用程序和一个单独的Node.js/express应用程序。我希望React应用程序能够从节点应用程序获取数据,但我不希望外部的任何人能够访问这些api调用,而不是从请求、直接链接、邮递员等访问。
起初,我考虑使用ExpressIPFilter只允许来自服务器的请求,但我想这不会起作用,因为请求通常来自用户ip!?
什么是使我的反应应用程序能够对其内容执行静态api调用而不向外部公开api的最佳方法?
我有点迷失在这一点上,任何帮助或建议将高度赞赏!
共有1个答案
你不能向所有人公开你的应用程序并隐藏你的API。您唯一能做的就是只允许您的域使用cors,但是任何人都可以复制curl并将其粘贴到postman中。您需要身份验证来限制访问(JWT、oauth2、cookies等)
-
我正在实现一个Nodejs后端API。其中一些需要在访问之前进行身份验证。为此,我选择密钥斗篷服务器作为身份服务器。我使用npm keycloak-connect库来集成节点服务器和密钥斗篷服务器。现在身份验证很好。 问题是,当我使用'http://localhost:8080/auth/realms/test-realm/protocol/openid连接/注销此API。密钥斗篷服务器表示令牌不
-
我开始用node.js、express和MongoDB规划一个REST API。该API为一个网站(公共和私人区域)提供数据,之后可能还会为一个移动应用程序提供数据。前端将使用AngularJS开发。 几天来,我读了很多关于保护REST API的文章,但我没有得到最终的解决方案。据我理解就是用HTTPS来提供一个基本的安全性。但如何在用例中保护API: > 仅允许网站/应用程序的访问者/用户获取网
-
通常情况下,我不会发布一个问题要求例子,但这是一个特殊的情况,因为我的研究没有找到可行的例子,我关于这个主题的问题似乎从来没有解决这个基本问题。
-
问题内容: 我正在尝试创建一个安全的node.js服务器,以与使用ssl(https)的网站一起使用。 但是,当我启动服务器时,出现以下错误: 我的服务器在没有线路的情况下运行良好。我正在运行node.js(V0.4.1)。 我将不胜感激任何建议。 谢谢。 问题答案: 在Node.JS 0.4中重新执行了HTTPS实现。请参阅nodejs.org上的相应文档。 来自文档的示例:
-
问题内容: 我正在开发基于NodeJs / Express的网站项目,对于某些UI部分,我正在使用Jquery ajax请求来获取辅助数据。 我们如何处理对我们的Rest API端点的一些基本控制,这些端点被浏览器用于ajax调用?我在考虑某种令牌授权,但是一旦被拦截,它也可以被其他客户端(脚本等)使用,那么我们如何保护服务器免受不必要的请求呢?在这种情况下,还应使用其他哪些控件(识别来自同一客户
-
你好,我是Spring和Spring保安新来的。目前我正在Spring开发rest api。根据spring提供rest API。rest api是无状态的,所以我们不能创建到rest api的会话。因为它是一个无状态的,如果我们这样做,那么它是违反rest设计的。所以我的问题是,在REST中,我们是不是可以永远保持服务器端用户的状态?我们可以维护它的客户端吗??怎么做??在spring basi