不太清楚这块 web 现在流行的做法,想讨教下下面几个问题:
- 前端发送 AJAX 请求,后端 CORS 验证足够吗?那如果攻击者直接手动发送请求, CORS 就没法检测了吧?
- 前后端 API 鉴权如何做?如果是非登录的 API (比如 get ),那么根据用户名密码生成 token 就不现实了吧?所以应该是生成特定的 token 然后检测是否过期?
- JWT 现在实践上能解决上述问题吗?
一起探讨下,谢谢~~
This topic created in 3421 days ago, the information mentioned may be changed or developed.
 |
1
Vogan Jan 26, 2017 via iPhone
1.cors 是用来限定跨域请求,如果请求来自各种客户端,那么就是*了,和攻击者手动攻击有什么关系?如果是指定 ip ,那写在规则里就行
2.不需要 token 的公开 API 就是正常请求啊,一般是一定时间请求次数,依据是 ip 3.没用过。用的 oauth2 |
 |
2
zhouquanbest Jan 26, 2017
app 怎么做 web 就怎么做
走 Oauth2 就好了 |
 |
3
Septembers Jan 26, 2017
HTTPS Only (TLS 1.3)
|
 |
4
hxsf Jan 26, 2017 via iPhone
@Vogan 1.只有 web 有 cors 。浏览器实现的
2. 通用无状态 api 一般使用 header 里塞 token 来确认请求源身份。 3.jwt 是一套别人的一种实现。还带了权限控制貌似,看得不多。详细看 jwt 官网。 |
|
6
hxsf Jan 26, 2017
|
 |
8
hnch201414 Jan 26, 2017 via Android
jwt 可以
|
Select Language