移动客户端请求后端API的时候可以加密和验证,AJAX请求写在JS文件中,接口地址,请求参数等信息全部暴露了,即使加密,JS加密代码也可以直接查看,如何保证安全性?
我没有前端开发经验,如有错误之处,还请各位见谅。
1
kaneg 2015-07-11 20:31:40 +08:00
API 接口暴露不等于谁都可以自由调用,你可以在API调用中增加鉴权,只有鉴权过后的调用才是有效的。例如增加一个session id之类的。
|
3
dalaomj 2015-07-11 20:59:11 +08:00
如果是非常重要的、不能面向公网的数据。那就后端请求接口,前端只有请求结果。
|
4
YuJianrong 2015-07-11 21:35:45 +08:00 via iPad
设计ajax请以信息就是对客户公开为前提来设计。
|
5
virusdefender 2015-07-11 22:07:19 +08:00
即使别人不直接调用ajax接口 还是可以采集HTML的 没办法绝对杜绝,只能加大难度。
因为你说的是移动客户端,可以采用下面的办法 1 严格注册条件,比如验证手机号邮箱等,然后登陆后调用,每个账号都有自己的频率限制 2 使用https,key pinning, 能杜绝部分小白直接去抓包 3 代码混淆加appid、app_secret、nonce的形式,防止请求重放 |
6
hjc4869 2015-07-11 22:41:16 +08:00
@virusdefender key pinning对浏览器的客户端完全没用= =
|
7
kokdemo 2015-07-11 22:58:15 +08:00
@YuJianrong 赞成
|
9
FrankFang128 2015-07-12 00:57:16 +08:00
HTTP 就是不安全的呀
|
10
spritevan 2015-07-12 02:30:51 +08:00
|
11
loading 2015-07-12 06:43:01 +08:00 via Android
传输加你也就只能 https
你说的认证,session 这些应该不用多说。 |
13
tftk 2015-07-12 08:59:22 +08:00
Nginx ACL.
|
14
kaneg 2015-07-12 09:23:45 +08:00
@imlonghao https怎么轻易抓包?就是中间人攻击也不是轻而易举地事。如果这样易如反掌,Google, Apple都不要活了。
|
16
fuermosi777 2015-07-12 11:32:21 +08:00
https + http://chuansong.me/n/1386175
|
17
iyaozhen 2015-07-12 13:58:53 +08:00 1
@oott123 两个不同的方面吧。浏览器只能看见自己的数据和通用数据的格式。每个用户请求的结果肯定是不一样的。
实际是防止不了别人发现你的接口的,但我们要做的是发现了接口用不了(用户验证),以及所有用户数据在接口传输过程中的安全(防止撒网抓包)。 若是要防止被采集的话(信息展示类的网站),ajax 其实只是稍微提高了采集的难度。 |
18
johnsmith123 2015-07-12 14:02:27 +08:00
这和前端页面的隐私一样没啥意义吧
|
19
imlonghao 2015-07-12 15:10:46 +08:00
@kaneg 我认为楼主讲的是防止AJAX请求被抓包,就算页面使用了https,使用Fiddler 2等,安装Fiddler的根证书,本地是可以抓https的包的。楼主将的应该是这种。
|
20
lianyue 2015-07-12 15:36:02 +08:00 1
抓包。。。 没有抓不到的包吧
|
21
iyaozhen 2015-07-12 16:54:23 +08:00 1
@imlonghao 这还不如浏览器 F12 方便。关键还是鉴权,知道了包的结构/内容(自己的)(网页的话就是 json 啥的)也没啥用呀。
|
22
iyangyuan 2015-07-13 09:32:59 +08:00
f12->network 一目了然
|