0
我正在开发一个应用程序松散连接的应用程序,分为两部分。服务器端正在node.js中开发,express.js作为API服务器供可信客户端使用。它仅暴露不同的HTTP Restful端点。 API Server完全支持跨域访问。保护除信任客户以外的其他API访问的最佳方式
客户端正在完全独立开发并托管在具有不同域名的不同服务器(除api服务器之外),并且将面向公众访问网站。
我要确保只有受信任的客户端,我在Angular2正在开发可以访问我的API?如何使我的api安全,以便只有受信任的客户端才能访问API服务器。我如何检查客户的真实性。
我能想到的一种方法是在CORS中过滤域,以便只有某个域才能访问apis。但我不认为这是最安全的方式,如认证和授权。
在任何客户端上使用应用程序密钥和应用程序密钥将导出到最终用户,他们可以通过创建假客户端复制它并消费apis?构建这种松散连接的应用程序最值得信赖的方式是什么?
CORS +智威汤加在一起是一个坚实的标准,它提供了高度的安全性。 –