我是否需要为SPA保护仅支持GET的REST API

Posted 2021-04-08

我有一个javascript SPA，它使用了使用Django（Django Rest Framework）构建的后端REST API。这是一个小型的学术项目，可能会定期吸引几百名用户。我们的初步设计假设用户可能希望保存数据，但最近与潜在客户的咨询使我们怀疑是否需要合并此功能。因此，这将完全消除对后端API的POST请求的任何需求，只留下GET。这些GET（通过axios）仅包含路径参数，没有查询参数，并返回小JSON有效负载，用于在应用程序中呈现SVG组件（此数据是只读的静态数据，已存储在后端数据库中）。

假设需要满足用户上传需求，我们还添加了用户登录/注销和帐户管理功能。我们甚至开始考虑整合Auth0。但是，如果我们完全删除用户上传，我们甚至需要以这种方式保护我们的API端点吗？

答案

根据OP中给出的内容，答案是，不，您不需要身份验证。

无论使用何种HTTP动词，只要问问自己，无论您通过REST apis公开的功能是什么，至少，您是否关心如何使用您的API做什么？如果不是你不需要身份验证

基本上，

1. 您想限制对任何API的访问吗？
2. 你想把动作绑定到任何角色吗？
3. 你想审计，（谁做了什么时候）？

如果回答所有这3个是否定的，则不需要身份验证。