[请教] 前端 AJAX 请求如何保护接口？

API 接口暴露不等于谁都可以自由调用，你可以在API调用中增加鉴权，只有鉴权过后的调用才是有效的。例如增加一个session id之类的。

@kaneg 嗯，但是加上了session id，别人抓包一样可以获得。还是没法防止他人调用。

如果是非常重要的、不能面向公网的数据。那就后端请求接口，前端只有请求结果。

设计ajax请以信息就是对客户公开为前提来设计。

即使别人不直接调用ajax接口 还是可以采集HTML的 没办法绝对杜绝，只能加大难度。

因为你说的是移动客户端，可以采用下面的办法

1 严格注册条件，比如验证手机号邮箱等，然后登陆后调用，每个账号都有自己的频率限制

2 使用https，key pinning, 能杜绝部分小白直接去抓包

3 代码混淆加appid、app_secret、nonce的形式，防止请求重放

@virusdefender key pinning对浏览器的客户端完全没用= =

@YuJianrong 赞成

@engHacker 防止别人抓包就只能用https了

HTTP 就是不安全的呀

传输加你也就只能 https
你说的认证，session 这些应该不用多说。

@kaneg https 还是可以抓包的吧

Nginx ACL.

@imlonghao https怎么轻易抓包？就是中间人攻击也不是轻而易举地事。如果这样易如反掌，Google， Apple都不要活了。

@kaneg 在浏览器端做的话，只要按 F12 就能看到了，还用不着抓包呢……

https + http://chuansong.me/n/1386175

@oott123 两个不同的方面吧。浏览器只能看见自己的数据和通用数据的格式。每个用户请求的结果肯定是不一样的。

实际是防止不了别人发现你的接口的，但我们要做的是发现了接口用不了（用户验证），以及所有用户数据在接口传输过程中的安全（防止撒网抓包）。

若是要防止被采集的话（信息展示类的网站），ajax 其实只是稍微提高了采集的难度。

这和前端页面的隐私一样没啥意义吧

@kaneg 我认为楼主讲的是防止AJAX请求被抓包，就算页面使用了https，使用Fiddler 2等，安装Fiddler的根证书，本地是可以抓https的包的。楼主将的应该是这种。

抓包。。。 没有抓不到的包吧