保護安靜的API呼叫

Question

我有一個應用程序開發使用AngularJS前端和Java後端。

問題我面臨的是，如果該應用程序和搜索特定數據的用戶登錄時，會出現與有效載荷JSON發送到服務器的API調用，響應我們會得到JSON數據與搜索參數有關。這裏

問題是用戶可以打開的開發工具，並複製API和JSON有效載荷的URL和發佈相同的數據郵差或DHC客戶，並得到響應JSON多了，他可以改變與數據角色並獲得與其他角色/用戶相關的搜索結果。

我的問題是如何保護API不直接調用其他來源的形式和改變有效載荷。

Answer 1

JavaScript客戶端應用程序通過瀏覽器發送的請求和從Postman等任何其他工具「手動」發送的請求之間沒有本質區別。在您的所有請求受到任何身份驗證機制（如OAuth）的保護，或者只是通過與每個請求一起傳遞的某些祕密API密鑰（在這種情況下，這些API密鑰只屬於特定的經過身份驗證的用戶！）之前，通常都沒有安全問題。

請記住，保護您的系統免受惡意或不安全操作的安全層應該位於服務器端而不是客戶端應用程序。這意味着一個特定用戶可以從客戶端應用程序完成的任何事情都可以由同一用戶以「手動」模式從任何其他工具完成（如上所述）。