【发布时间】:2021-04-24 10:22:13
【问题描述】:
我有一个问题试图解决几天,仍然没有得到任何严格的解决方案。
我有一个 Angular 应用程序,该应用程序将公开可用,因此无需登录或凭据即可打开网站,并且用户可以将 Id 作为查询参数。让我们说www.mysite.com/123
要检索 123 的数据,我有一个后端,需要使用 clientId 和 clientSecret 进行身份验证,以获取 access_token,然后使用 access_token 调用 api 以获取信息。
如果我将 clientId 和 clientSecret 放入代码中,黑客可以窃取并使用它。
有人建议在后端启用 CORS,以确保只处理来自我网站的请求。我已经这样做了,但是知道 clientId 和 clientSecret 即使启用了 CORS,黑客也可以通过添加 origin 和 referrer 作为标头来从 postaman 发送请求。
我尝试使用 Angular Universal 进行服务器端渲染,希望 api 调用将在服务端运行并且对用户隐藏,但 api 调用仍在前端发生。
真的陷入了这个问题,感谢任何形式的帮助。
由于应用程序很小,它只托管一个由 stencilJs 开发的 Web 组件,如果其他语言如 react 或 vue 可以支持我的场景,我可以切换
【问题讨论】:
标签: javascript node.js angular