查了下,一般说道前后端分离,保护 api,就是 JSON Web Token 之类的方法, 都是用户登录产生 TOKEN 来保护 API, 如果只是简单的展示页面,但又不想 API 可以被别人直接访问, 该如何保护?
1
UnisandK 2017-07-16 00:21:01 +08:00
API 传输的内容加个密,解密的 JS 再上个混淆?
|
2
ericls 2017-07-16 00:23:03 +08:00 via iPhone
Server side render
|
3
bazingaterry 2017-07-16 00:24:02 +08:00 via iPhone
我也只想到了 JS 混淆,但是如果对方直接拿 WebDriver 那一类的爬估计也是没办法了……
|
4
xfspace 2017-07-16 00:24:22 +08:00 via Android
展示还用原始数据?不都是随手生成么
|
5
oh 2017-07-16 00:48:02 +08:00
我想说 token 不一定要用户登录才产生,开启 app 的时候也可以产生,用户登录 是一个授权的一种,但授权不一定是用户登录。
我印象中,之前抓包 iOS 版的 什么值得买 就对设备 id 产生了一个 token,现在不知有没有改过( app 已经改版了),楼主可以看看。 |
6
naquda OP 也不能完全说是展示, 比如,实现一个功能,这个功能是需要后端参与的, 以前靠模板渲染, 后端自然是隐藏的, 但现在如果前后端分离, 前端 JS 势必要调用后端 API, 但又不想这个 API 别人拿了 JS 就可以直接访问
貌似必须 Server side render ? 单页也 OK? |