加强对匿名 API 的访问的选项

Posted

技术标签:

【中文标题】加强对匿名 API 的访问的选项【英文标题】:Options to harden access to anonymous APIs 【发布时间】:2021-11-21 18:08:41 【问题描述】:

我需要一些关于如何保护或强化对匿名 REST API 的访问的建议。这些 API 将由基于浏览器的 Web 应用程序访问。此 Web 应用程序不需要用户身份验证,因此我认为 OAuth 令牌不是一个选项。目的是保护这些 API 不被未知的应用程序/来源使用。

【问题讨论】:

【参考方案1】:

不可能。

您需要在客户端和服务器之间共享某种机密(会话 cookie、jwt 令牌、api 令牌……),以确保没有第三方在使用您的 api。

如果你没有这个,你就剩下将 IP 地址列入白名单(通常不起作用)或评估 origin 标头(我可以使用 curl 轻松绕过它)。另一方面,检查来源总比没有好,请记住,这是not bullet proof。

【讨论】:

感谢您的回复。

以上是关于加强对匿名 API 的访问的选项的主要内容,如果未能解决你的问题,请参考以下文章

通过 Youtube live API 的低延迟广播选项

win7共享文件

OWIN 托管的 web api:使用 windows 身份验证并允许匿名访问

this.$refs 使用 Vue 3 选项 API 为空

PHP:如何根据用户/组验证对菜单中选项的访问?

19.混合使用选项和组合API需要注意哪些