【发布时间】:2018-05-10 01:29:19
【问题描述】:
其实我有一个 API 叫做更新用户数据,当用户从一个页面移动到另一个页面时调用它。如果用户从控制台复制 API 并在邮递员中发布,用户应该无法更新用户数据。如何提供安全性或实现功能以不通过 post man 更新数据。
【问题讨论】:
-
在您的 API 中包含身份验证和授权工具。
其实我有一个 API 叫做更新用户数据,当用户从一个页面移动到另一个页面时调用它。如果用户从控制台复制 API 并在邮递员中发布,用户应该无法更新用户数据。如何提供安全性或实现功能以不通过 post man 更新数据。
【问题讨论】:
你真的不能。
您可以使用一些 CSRF 保护稍微让它变得更难,但仅此而已 - 它只会让它变得更难一点,但不会阻止任何人下定决心。
如果您的 API 是公开的,您应该准备好让您的用户拥有自定义客户端应用程序。
【讨论】:
我对你的问题有点困惑。因为 PostMan 或其他应用程序(如 Fiddler)的创建是为了让开发人员在开发过程中更轻松地完成工作。无论如何,如果您担心谁会调用您的网页,您可以将您的 API 设为私有,并且只向拥有正确凭据的用户授予访问权限。您还可以阅读 CSRF 或 XSS。
【讨论】: