我有一个英文字典webapp,比如xyz.com,使用AngularJS(或任何其他UI)和REST api开发。由于webapp对所有人开放并且没有用户注册,因此没有身份验证。如何防止外部应用程序使用REST API?换句话说,REST api仅在通过xyz.com访问时才有效。我不希望其他开发人员使用我的REST api为他的应用程序提供支持。
OAuth不是解决方案,因为没有身份验证。这个问题类似于Protect Web API from unauthorized applications,但没有任何具体的答案可以解决这个问题。
答案 0 :(得分:0)
如果您不能使用用户/密码,则可以使用仅由您的应用程序生成的api令牌。然后,在每个请求中包含该令牌到您的api,您的api应该验证它。您还应该使用HTTPS来加密频道。
This是确保休息服务的好建议。