这是一个创建于 2858 天前的主题,其中的信息可能已经有所发展或是发生改变。
不太清楚这块 web 现在流行的做法,想讨教下下面几个问题:
- 前端发送 AJAX 请求,后端 CORS 验证足够吗?那如果攻击者直接手动发送请求, CORS 就没法检测了吧?
- 前后端 API 鉴权如何做?如果是非登录的 API (比如 get ),那么根据用户名密码生成 token 就不现实了吧?所以应该是生成特定的 token 然后检测是否过期?
- JWT 现在实践上能解决上述问题吗?
一起探讨下,谢谢~~
 |
1
Vogan 2017-01-26 00:31:48 +08:00 via iPhone
1.cors 是用来限定跨域请求,如果请求来自各种客户端,那么就是*了,和攻击者手动攻击有什么关系?如果是指定 ip ,那写在规则里就行
2.不需要 token 的公开 API 就是正常请求啊,一般是一定时间请求次数,依据是 ip 3.没用过。用的 oauth2 |
 |
2
zhouquanbest 2017-01-26 00:57:47 +08:00
app 怎么做 web 就怎么做
走 Oauth2 就好了 |
 |
3
Septembers 2017-01-26 02:47:36 +08:00
HTTPS Only (TLS 1.3)
|
 |
4
hxsf 2017-01-26 10:02:50 +08:00 via iPhone
@Vogan 1.只有 web 有 cors 。浏览器实现的
2. 通用无状态 api 一般使用 header 里塞 token 来确认请求源身份。 3.jwt 是一套别人的一种实现。还带了权限控制貌似,看得不多。详细看 jwt 官网。 |
|
6
hxsf 2017-01-26 10:33:16 +08:00
|
 |
8
hnch201414 2017-01-26 11:22:25 +08:00 via Android
jwt 可以
|
Select Language