[請益] 菜鳥問api設計問題

看板Soft_Job作者 (比爾蓋茲)時間8年前 (2018/01/07 20:30), 8年前編輯推噓6(609)
留言15則, 11人參與, 8年前最新討論串1/1
不知道在哪個版問.. 我是剛畢業的新鮮人,原本做前端,但公司日後要開發一個簡易小系統,叫我之後可以學 一下怎麼設計api。 我是用express做的。有個問題是遇到跨域的狀況時,有查到說要寫上 Access-Control-Allow-Headers :* 所以我好奇為何postman測試的時候都不會有跨域問題,有查到說跨域問題是瀏覽器同源 策略的安全限制,postman只是類似代理所以不存在這個問題。 那這樣別人拿到我的api在本機用postman亂改不就會直接改到我的資料嗎? 不知道有沒有解釋清楚,請問各位是如何設計自己api的安全機制呢?謝謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.27.140.93 ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1515328246.A.7A9.html
01/07 20:32, 8年前 , 1F
你在瀏覽器中就會被擋,還有你api要有驗證機制
01/07 20:32, 1F
01/07 20:32, 8年前 , 2F
你在瀏覽器中就會被擋,還有你api要有驗證機制
01/07 20:32, 2F
01/07 20:32, 8年前 , 3F
這樣user要亂改只能改自己的資料
01/07 20:32, 3F
好的,我再看看
01/07 20:39, 8年前 , 4F
要保護好自己的API
01/07 20:39, 4F
※ 編輯: broo (114.27.140.93), 01/07/2018 20:41:02
01/07 20:44, 8年前 , 5F
男森真的要好好保護自己
01/07 20:44, 5F
01/07 20:48, 8年前 , 6F
後端API最重要的觀念就是不要相信前端阿XD
01/07 20:48, 6F
01/07 21:20, 8年前 , 7F
你想問的應該是怎麼限制非授權使用者存取api,web可以
01/07 21:20, 7F
01/07 21:20, 8年前 , 8F
考慮session jwt這些方案
01/07 21:20, 8F
01/07 21:34, 8年前 , 9F
API的AA 跟 Browser的CORS 是兩件不同的事情
01/07 21:34, 9F
01/07 21:37, 8年前 , 10F
api本身要有驗證機制 cors只能防君子 不能防小人
01/07 21:37, 10F
01/07 22:05, 8年前 , 11F
後端如果都相信前端就會變成之前統聯客運事件
01/07 22:05, 11F
01/07 22:42, 8年前 , 12F
謝謝各位的解答!
01/07 22:42, 12F
01/07 23:14, 8年前 , 13F
對方要有設定資訊來跟你要token,然後才能用token換資料
01/07 23:14, 13F
01/07 23:14, 8年前 , 14F
可以參考google跟fb怎麼做的
01/07 23:14, 14F
01/08 07:52, 8年前 , 15F
Keyword auth
01/08 07:52, 15F
更多 broo 的文章
文章代碼(AID): #1QKXBsUf (Soft_Job)