java - 如何在浏览器中向公众隐藏 Spring Boot“GET”API 请求?
问题描述
正如问题所述,我的目标是隐藏Spring Boot中的 GET 路由,使其不被公众访问。我最初采用了 CORS 方法,但这并不能解决实际的视图问题。几乎任何人都可以去,比如说……https://my-api-url.com/employee/all查看我数据库中所有员工的 JSON 记录。
最终目标:我只希望我的前端能够访问我的 API,以便向已登录的授权用户显示该信息,但我不希望任何人都可以访问 API。CORS 策略可以处理 ajax 请求,但我似乎无法停止对 GET url 的整体查看。
我怎么解决这个问题?
解决方案
如果您想限制使用并使滥用者不方便调用您的 API,您可以在页面加载时发出一个令牌(CSRF 令牌)并要求该令牌出现在对 API 的请求中 - 这样 API 就可以调用了从启动页面加载的浏览器。
推荐阅读
- android - Android模拟新对象空指针异常
- angular - 使用路由在 Angular 6 中打开新的浏览器窗口
- javascript - 动态地将字体系列从 Assests 加载到 WebView
- powerbi - 实现相关系数时的问题
- google-apps-script - 如何从文本框中获取用户输入并导入到 google code.gs 文件中?
- powerquery - 更新现有表
- machine-learning - 咖啡的 HDF5 输入
- excel - 如何处理正在应用的过滤器中的多项选择数据?
- spring - 如何以编程方式为 Spring Boot Actuator 设置管理服务器端口
- css - 使用css网格在列方向上的两列布局