只允许前端调用后端API?
我有一个应用程序与Spring-Boot一起提供服务。我已经为“API/...”添加了一些控制器--这些调用可以执行Angular Frontend需要的不同操作。我如何保护这些URL以便只有我的前端可以访问examlpe.com/api/...而不是每个用户?我不希望任何人能够访问examlpe.com/api/..但是他们应该能够访问example.com。
url example.com/api/userinfo返回关于当前登录用户的信息。只有我的前端才能打这些电话。
我意识到需要为这些调用实现某种身份验证。在调用API时是否发送某种令牌。最佳实践是什么?
共有1个答案
spring security Authentication似乎可以做到这一点。在发送请求时,您将需要传递身份验证参数,这些参数将由spring-security模块验证,然后调用将到达您的控制器。我还没试过呢。
看看这个:如何使用Spring Boot和Spring Security保护REST API?
-
通常情况下,我不会发布一个问题要求例子,但这是一个特殊的情况,因为我的研究没有找到可行的例子,我关于这个主题的问题似乎从来没有解决这个基本问题。
-
最初我得到了这个错误: CORS策略阻止从来源“http://test.net”访问位于“http://localhost:8000/leadmanager/api/lead/”的XMLHttpRequest:对飞行前请求的响应未通过访问控制检查:请求的资源上没有“access-control-allog-origin”标头。 因此,我检查了文档,安装了django-cors-headers,并在
-
问题内容: 为了在我的Web应用程序中获得Spotify API的访问令牌(由其Web授权流程指定),我了解到必须提出请求。但是,这样做的时候, 由于跨域问题,我得到了。 我已经弄清楚了如何允许CORS 请求,但是不确定如何对请求执行相同的操作。该链接提供了配置提示,但保留的实际路由,并且为空。 这是我的Express.js服务器的相关代码: (是节点模块)。 我之前曾尝试将确切的代码复制到中,但
-
我的目标是允许特定角色查看商店中的任何订单。虽然在“我的帐户”页面中显示所有订单相对容易,但访问不同用户创建的特定订单总是以“无效订单。我的帐户”错误结束。 到目前为止,我已经在filter中添加了自定义查询,这样就可以查看具有相同角色的帐户所做的所有订单。我将角色权限设置为完全权限(根据此链接,权限与店铺经理和管理员相同,但默认情况下这些角色也无法查看所有订单:https://github.co
-
这是我的Express.js服务器的相关代码: (是节点模块)。 我以前尝试将的准确代码复制到中,但这导致服务器崩溃。