【问题标题】:How to disallow API's execution in postman?如何在邮递员中禁止 API 的执行?
【发布时间】:2017-09-20 22:41:41
【问题描述】:

我在服务器端使用节点 js,我想禁止 API 在邮递员(即浏览器以外)中执行。我猜策略可能有效,但我不知道该怎么做。谁能建议我帮忙.谢谢。

【问题讨论】:

    标签: javascript node.js mongodb api


    【解决方案1】:

    您将无法禁止任何特定客户端使用您的 API。您可以根据源 IP 或端口、包含用户代理、API 密钥或其他凭据的标头拒绝请求,但如果您的 API 完全可以访问,那么邮递员或任何其他客户端可以使用相同的数据访问它.

    要限制人们访问数据的方式,您可以添加 API 密钥和用户凭据,但具有相同 API 密钥和凭据的同一用户将能够使用任何其他软件访问您的 API,而且没有其他办法它。

    您可以做的一件事是,例如需要一些邮递员限制的标头 - 请参阅邮递员文档中的限制标头和 cookie:

    但是,只要用户拥有正确的 API 密钥和凭据,每个人都可以使用更灵活的工具(例如 curl)发布任何请求,这些工具看起来就像任何其他有效请求,这确实是您可以做到的唯一方法限制对您的 API 的访问。

    【讨论】:

    • 嗨 rsp,我想做的是......当我从邮递员触发 api 时,它应该说 404 not found by using policies at each route 我们可以检查 api 的来源吗?跨度>
    • @MMR 我认为您没有理解 rsp 的答案。没有办法确定客户端应用程序(邮递员/浏览器/其他); http API 根本不是那样设计的。这就是为什么您需要查看 API 密钥和用户凭据的原因。
    猜你喜欢
    • 1970-01-01
    • 2019-02-28
    • 1970-01-01
    • 2022-06-21
    • 2017-02-21
    • 2017-03-30
    • 1970-01-01
    • 1970-01-01
    • 2020-06-09
    相关资源
    最近更新 更多