0
我們的API(由第三方提供)正在使用令牌,以確保僅授權訪問。我們的新網站不應該是服務器到服務器,而是大部分前端,即令牌在腳本中可見。我們現在正在檢查如何爲前端網站確保API,並且我必須向我的老闆提出建議。然而,我從來沒有必要做一些API保護,你能幫我告訴我在哪裏閱讀/狀態的藝術解決方案?保護前端網站的API
我已經開始研究OAuth1a,OAuth2,OpenID,但還不能(真的)真的得到進一步調查的方向。
A
回答
0
您仍然應該使用令牌,但您必須確保令牌不授予您完全訪問API的權限。
令牌需要特定於正在使用該應用程序的用戶,並且令牌只能授予對用戶被允許執行的特定功能的API訪問權限。
現在我會忽略OAuth1和OpenID,只有看OAuth2。有足夠的功能來做你想做的事情,而且比其他的更簡單。