我对构建 SPA 应用程序有安全顾虑。
只要拥有 token ,什么会阻止最终用户调用我的 Web API?
例如:我是 Spa Web 应用程序的最终用户,我通过登录表单登录。访问提供给我的 JWT token (假设这很容易)。然后打开 postman 并尝试使每个调用都可能将该 token 放入每个请求的 header 中。
我假设我能够进行的唯一调用是由于 Web API 授权而被授权通过 UI 进行的调用。
是否有任何类型的安全措施可以防止这种情况发生,或者基本上只是确保您的 Web API 具有适当的授权?
最佳答案
这与常规网站/网络应用程序绝对没有区别。 是,任何人都可以尝试向您的服务器发出他们想要的任何 HTTP 调用。这适用于普通网站、jQuery 网站、SPA 网站、移动应用程序或 Flash 游戏。您的服务器需要进行适当的授权和验证,以确保允许用户执行他们尝试执行的操作。
关于javascript - 带 Web API 安全问题的 Spa 应用程序。使用 JWT 登录的用户可以向 API 发出随机请求吗,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47265624/