关于Rest API访问和最终用户应用程序的Cross Origins建议

Question

我并不需要这里的代码帮助，更多关于如何处理这种情况的建议。

我有一个使用Spring启动的REST API。

我还有一个简单的混合应用程序，我需要部署给公司内的用户以及“买入”API访问权限的客户。用户可以在世界任何地方，这意味着我永远不知道他们会在哪个领域。

据我所知，使用下面的标题是不好的做法：

"Access-Control-Allow-Origin":"*" 

既然我知道我们的API应该是这样的前端应用程序访问的唯一的一点，但我从来不知道在哪里的用户那个应用程序将会，或者他们将会在什么网络上，我该怎么做？

在这里标记春天社区，尽管这不是以春天为中心的问题。这是因为我实际上在使用Spring，我猜这个社区以前会解决这个问题。

Answer 1

我相信这个问题不是关于CORS的。

“Access-Control-Allow-Origin”：“*”确定，因为您需要从任何地方访问您的API。

即使您知道所有您需要允许的起源，您也不应该依赖从客户端发送的Origin标头，因为您可以发送任何标头。

验证您的用户，您将知道用户是否可以访问API。

感谢。