Spring boot REST API 仅接受来自 Angular 前端的调用

Posted 2023-02-27

【中文标题】Spring boot REST API 仅接受来自 Angular 前端的调用

【英文标题】：Spring boot REST API to accept call only from Angular Front End

【发布时间】：2021-09-13 05:11:43

【问题描述】：

我是 Spring boot rest api 的新手。

我有以下场景：

KeyCloak 已安装并配置为进行身份验证 Spring Boot 微服务 角前端

Angular 通过 Spring Cloud 网关调用微服务。

我设计了自己的登录页面，该页面使用 KeyCloak 进行身份验证并获取令牌。效果很好。

有没有什么方法可以让未注册用户使用通用令牌仅从 Angular 调用微服务？

为什么我想要这个，是为了保护微服务不被任何其他工具（如邮递员）直接访问。

任何指南/提示将不胜感激。

非常感谢

【参考方案1】：

使用 curl、POSTMAN、httpie 等工具可以轻松地通过浏览器从 Angular 应用程序调用后端微服务。我们无法阻止。

即使您认为在不为未注册用户提供凭据的情况下获取令牌，并且使用该令牌对特定 API 的后台微服务进行有角度的调用，也可以解决该问题。任何人都可以很容易地以未注册用户的身份从浏览器获取令牌，并使用该令牌从 POSTMAN、curl 等工具进行调用。所以我们无法停止来自这些工具的调用

您所能做的就是通过使用 CORS、API-Throttling 来缓解攻击

【参考方案2】：

我希望您想授予未注册用户访问某些页面的权限。假设任何用户即使没有注册也可以访问登录页面和登录端点。对于这种情况，我们通常不需要任何令牌机制，而是可以有一个IP限制机制，如果用户在X分钟内访问N次网页，则阻止该IP Y分钟。这通常是为了防止 ddos​​ 攻击。

没有办法完全阻止来自 POSTMAN 的访问，因为任何浏览器请求都可以通过添加某些标头或其他参数被 POSTMAN 模拟，即使您为未注册用户设置了一些令牌。

【讨论】：

假设一个未注册的用户正在浏览网站，并查看产品列表。因此，产品列表是通过调用微服务来获取的。那么有什么方法可以直接从 KeyCloak 获取令牌而无需登录，并且当调用完成时，令牌会在标头中传递给微服务。因此，从某种意义上说，我们确保他们的调用是从角度本身进行的。也许在这里我错了，但如果可以实现，需要一些澄清。非常感谢

是的，你是对的，但并非所有 api 都需要事先进行登录/令牌身份验证。看看 Amazon/Flipkart 的搜索 api，您可以在网络选项卡上检查 Flipkart 的搜索端点，这些 api 不需要身份验证令牌。因为它们是公开可用的。在购买商品时，您可以登录，而不是搜索。您应该排除这些 api 使用令牌进行身份验证

为避免过度使用，您可以添加 IP 限制/cors 策略..etc

感谢贾斯汀，据我所知，可以实施 cors 策略来限制通过网络浏览器访问 API。但是，API 仍然可以通过其他方式访问，例如其他人的 POstman。

只要浏览器可以访问调用这个 api 的，POSTMAN 可以调用而不管你设置的每个限制。如果有一种方法可以检测到调用来自特定应用程序，那么它是可能的，但是对于邮递员，我们无法确保它会向我们发送一些属性或标头来区分。因为它是第三方工具，而且它是一个开发工具，我们现在无法在服务器端识别它并阻止它。我认为它也不是 POSTMAN 方面的必需实现。