web-services - 我是否应该允许从本地应用程序以外的客户端访问我们的 API?
问题描述
我正在编写一个 Web 应用程序,它由一个以 Angular 开发的 Web 前端和一个移动应用程序组成。我正在定义一个公开多个 Web API 的微服务架构。他们中的大多数要求用户进行身份验证,但其他人公开数据。现在,通过这种方法,每个人都可以使用不同的客户端访问 API,例如邮递员。当然,对于他们中的大多数人来说,他们必须出示凭证并获得访问令牌。我想知道这是否是正确的方法。用户可以使用与我的应用程序不同的客户端将自己注册到我的平台,因为最终它只是一个公开公开的 API。同样对于经过身份验证的用户,只要用户经过身份验证,我是否应该不打扰请求的来源?所以最后,
解决方案
这里有一些思考的食物:
为前端使用后端:您将 API 的子集映射到新的后端,并引入额外的身份验证和授权策略。在这里,您也许可以删除对公共端点的访问权或也为它们强制执行身份验证。
用户一旦拥有正确的权限并经过身份验证,就应该能够访问您的 API。
推荐阅读
- java - 是否有必要扩展线程类以使用睡眠方法..?
- javascript - 如何更改 Dimple js 网格线样式
- c# - 从 RadTreeView 获取选定的节点 ID(从 Sql Server 填充)
- list - 如何将结果写入列表而不是在序言中打印
- android - 在更新时更改清单 installLocation 参数
- xamarin - 如何使用 Xamarin Forms 将左侧的一个元素和右侧的三个元素隔开?
- python - 如何在 for 循环(在 python 中)中从 word 文档的文件名中提取特定名称?
- google-cloud-platform - 在 GCE 上导入虚拟磁盘
- database - 春季重试调用Web服务时如何更新“重试列”的计数
- spring - CannotGetJdbcConnectionException 的原因可能是什么?