我有一个应用程序使用 AngularJS 开发前端, Java 开发后端。
我面临的问题是,如果用户登录到应用程序并搜索特定数据,将会发送一个API调用,并将有效负载 JSON 发送到服务器,作为响应,我们将获得JSON中与搜索参数相关的数据。问题在于用户可以打开开发人员工具并复制API和JSON有效负载的URL,并在 Postman 或 DHC客户端中发布相同的数据并获取响应JSON而且他可以改变与角色相关的数据并获得与其他角色/用户相关的搜索结果。
我的问题是如何保护API不直接调用其他来源并改变有效负载。
答案 0 :(得分:1)
您的浏览器发送的JavaScript客户端应用程序发出的请求与发送的请求之间没有根本区别"手动"从任何其他工具,如邮递员或其他任何东西。在您的所有请求受到OAuth之类的任何身份验证机制的保护,或者仅使用每个请求传递的一些秘密API密钥(在这种情况下,这些API密钥应仅属于特定的经过身份验证的用户!)时,通常不会出现任何安全问题。
请注意,保护您的系统免受恶意或不安全操作的安全层应仅位于服务器端,而不应位于客户端应用上。这意味着特定用户可以从客户端应用程序完成的所有操作都可以通过"手册"中的任何其他工具(如上所述)完成。同一个用户的模式。