［請益］菜鳥問api設計問題

作者broo (比爾蓋茲)

看板Soft_Job

標題［請益］菜鳥問api設計問題

時間Sun Jan 7 20:30:44 2018

不知道在哪個版問.. 我是剛畢業的新鮮人，原本做前端，但公司日後要開發一個簡易小系統，叫我之後可以學一下怎麼設計api。我是用express做的。有個問題是遇到跨域的狀況時，有查到說要寫上 Access-Control-Allow-Headers ：* 所以我好奇為何postman測試的時候都不會有跨域問題，有查到說跨域問題是瀏覽器同源策略的安全限制，postman只是類似代理所以不存在這個問題。那這樣別人拿到我的api在本機用postman亂改不就會直接改到我的資料嗎？不知道有沒有解釋清楚，請問各位是如何設計自己api的安全機制呢？謝謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.27.140.93 ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1515328246.A.7A9.html

→ tw689: 你在瀏覽器中就會被擋，還有你api要有驗證機制01/07 20:32

→ tw689: 這樣user要亂改只能改自己的資料01/07 20:32

好的，我再看看

推 dali17dali17: 要保護好自己的API01/07 20:39

※ 編輯: broo (114.27.140.93), 01/07/2018 20:41:02

→ nova06091: 男森真的要好好保護自己 01/07 20:44

推 abccbaandy: 後端API最重要的觀念就是不要相信前端阿XD 01/07 20:48

推 Masakiad: 你想問的應該是怎麼限制非授權使用者存取api，web可以 01/07 21:20

→ Masakiad: 考慮session jwt這些方案 01/07 21:20

→ PTTCEO: API的AA 跟 Browser的CORS 是兩件不同的事情 01/07 21:34

推 vi000246: api本身要有驗證機制 cors只能防君子不能防小人 01/07 21:37

→ ssas1115577: 後端如果都相信前端就會變成之前統聯客運事件 01/07 22:05

→ broo: 謝謝各位的解答！ 01/07 22:42

推 jack0204: 對方要有設定資訊來跟你要token，然後才能用token換資料 01/07 23:14

→ jack0204: 可以參考google跟fb怎麼做的 01/07 23:14

推 alice822: Keyword auth 01/08 07:52