rest - 保护 SPA 后面的 REST API 免受数据窃贼的侵害

从 API 的角度来看，您的 SPA 与任何其他客户端没有任何不同。您显然不能在 SPA 中包含秘密，因为它会发送给任何人并且无法受到保护。此外，它对 API 发出的请求也可以很容易地被另一个客户端嗅探和复制。

所以简而言之，正如这里多次讨论的那样，您无法验证客户端应用程序。任何人都可以根据需要创建不同的客户端。

您实际上可以做的一件事是检查请求的引用者/来源。如果客户端在浏览器中运行，它可以发出的 thr 请求会受到一定限制，其中一个限制是referer 和 origin 标头，它们始终由浏览器控制，而不是 javascript。因此，您实际上可以确保当（且仅当！）客户端在未经修改的浏览器中运行时，它是从您的域下载的。顺便说一句，这是浏览器中的默认设置，因此如果您不发送 CORS 标头，那么您已经这样做了（实际上，浏览器会这样做）。但是，这并不能阻止攻击者构建和运行非浏览器客户端并伪造他喜欢的任何引用者或来源，或者只是无视相同的来源策略。

您可以做的另一件事是定期更改 API，足以阻止恶意客户端工作（并同时更改您的客户端）。显然，这根本不安全，但对于攻击者来说可能已经够烦人了。如果一次下载所有数据是一个问题，那么这又没有任何帮助。

你应该考虑的一些真实的事情是：

• 真的有人想下载你的数据吗？这个值多少钱？大多数时候，没有人想创建一个不同的客户端，也没有人对数据那么感兴趣。

• 如果这很有趣，您至少应该实施用户身份验证，并通过以下几点和/或在您的合同中合法地承担剩余的风险。

• 您可以实施限制以不允许批量下载。例如，如果典型用户每 5 秒访问 1 条记录，总共访问 10 条，您可以根据客户端 IP 构建规则，例如合理限制用户访问。请注意，尽管速率限制必须基于客户端不能任意修改的参数，并且没有身份验证，这几乎只是客户端 IP，并且您将面临 NAT 后面的用户的问题（例如，公司网络）。

• 同样，您可以实施监控以发现是否有人正在下载比正常或必要的数据更多的数据。但是，如果没有用户身份验证，您唯一的选择就是禁止客户端 IP。所以再次归结为知道用户是谁，即。验证。