有没有办法在纯 HTML/Javascript 应用程序中隐藏凭据,例如密码或身份验证 header token ,以防止用户看到?
AngularJS 应用程序通过在不同域上运行的 CORS 与 Rails 后端进行通信。
除了设置更严格的 CORS 或检查后端请求中的域之外,我还希望发送身份验证 token 或将 token 添加到 header 中。
有人知道吗?
亲切的问候,
亚历克斯
最佳答案
您只能通过模糊来限制用户看到的内容,这不是一个很好的主意。
这里的关键是以某种方式设置您的身份验证,以便用户可以看到或操作什么并不重要。实现此目的的一种方法是,每次您的应用程序需要进行身份验证时,将生成的 key 发送到您的客户端和第二个服务器应用程序。以对您的应用有意义的方式限制使用。另一种可能性是注册。
一种可能的解决方法是使用一台服务器作为客户端正在与之通信的唯一节点,而该服务器则完成与其他服务器通信的所有工作。特别是如果您不想让用户出于某种原因在应用程序逻辑之外调用第二个服务器的 api。
关于javascript - 如何在纯 Javascript HTML Web 应用程序中隐藏凭据,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18692984/