【问题标题】:Protect your API key from being stolen or abused保护您的 API 密钥不被窃取或滥用
【发布时间】:2020-08-08 02:35:07
【问题描述】:

您好,请问还有哪些其他方法可以保护您的 api 免受您嫉妒的敌人滥用或 DDOS 攻击?

我有一个简单的网站,它使用 Google API 和一些部署在 Heroku 中的自制 API。

我的第一个想法是永远不要在前端调用 API,让 webhost 服务器首先调用所有内容,并使用网页加载数据,这样当页面加载时,前端就没有 API 的痕迹结束。

但有时当您的网站包含自动更新数据时,您的 api 必须位于前端。在诸如此类的情况下,我可以采取哪些其他“专业”措施来保护我的 API。

我听说有些方法涉及 OAuth 和 SSL ?它们基本上是如何工作的?

我的 API 已部署到 Heroku,并使用 Node.Js express 库创建。

【问题讨论】:

    标签: node.js api express


    【解决方案1】:

    前端的 API 可以并且将会被盗,这只是时间问题。它是自然 API。甚至应用程序中的 API 也可以通过读取其程序集来检索。

    您可以做的是限制用户可以在服务器端对您的 API 执行的操作,或者设置超时,此特定设备调用您 API 的速度,然后只需将使用的 IP 地址锁定一天左右。

    没有办法,整个行业都必须改变,你才能完全隐藏 API。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2018-07-17
      • 1970-01-01
      • 2022-01-21
      • 2016-03-04
      • 1970-01-01
      • 1970-01-01
      • 2011-08-29
      相关资源
      最近更新 更多