我担心我的 react/redux 应用程序的安全性,因为我的 api url 在捆绑的 app.js 文件中向公众公开。我一直在研究这个,一些开发人员以某种方式代理它,即我可以使用api/,而不是使用我的api url,每当我使用axios 或superagent 之类的库执行调用并且它被代理到我的api url,但是这个用户只能在他们身边看到api/。
我正在尝试解决这个问题,我假设这是在 express config 中设置的?
【问题讨论】:
标签: javascript node.js express reactjs redux
你有一个合理的担忧。
通常,您会让您的客户端代码调用 /api,然后在 express(或您使用的任何服务器)中为“/api”创建一个路由,该路由将该请求代理到实际的 api url。
这样您就可以隐藏来自客户端的任何敏感信息。例如身份验证令牌、api 密钥等。
在快递中你可以这样做:
app.use('/api', (req, res) => {
const method = req.method.toLowerCase();
const headers = req.headers;
const url = 'your_actual_api_url';
// Proxy request
const proxyRequest = req.pipe(
request({
url
headers,
method,
})
);
const data = [];
proxyRequest.on('data', (chunk) => {
data.push(chunk);
});
proxyRequest.on('end', () => {
const { response } = proxyRequest;
const buf = Buffer.concat(data).toString();
res.status(response.statusCode).send(buf);
});
});
这个例子有点复杂,但它可能对你有用。
【讨论】:
your_actual_api_url。最重要的是,网络流量将始终对客户端可见。