Restful api 如何保障跨域访问安全性？

各位可以从各后端语言或者前端框架说说吗？

a199261800

2016-08-10 10:33:40 +08:00

@laoyur 有一个场景，我想直接通过前端 js 调用后端的一个删除 model 的 api 。
我的做法是这个请求里面包含了 token 信息和 modelID ，可是如果被别人从 js 文件里面看到 token 怎么破？

laoyur

2016-08-10 10:39:56 +08:00

1. 上 https
2. 页面登录后返回 JSON Web Token 过来
3. 访问 API 时， header 里面带上 JSON Web Token

lee015

2016-08-10 10:41:04 +08:00

1 楼说的 jwt 可以的，先从服务器取一次 jwt 生成的 token 存起来，请求时带上服务器验证。

qinxi

2016-08-10 10:44:23 +08:00

参考 spring session 的方式,其实就是 3 楼那种

neosfung

2016-08-10 10:50:46 +08:00

lz 问的是如果别人在 js 文件中看到 token 怎么办
我觉得这个还真的没办法

kanezeng

2016-08-10 11:02:25 +08:00

@neosfung token 是登陆之后给每个用户单独生成的啊，不存在于 js 文件中啊。

a199261800

2016-08-10 11:08:46 +08:00

@kanezeng 想到一个问题，我的请求是纯 js 的，但是如果有登录的话，是不是登录信息也在 js 这边暴露了？

jarlyyn

2016-08-10 11:10:57 +08:00

楼主到底在问啥……

如果只传输过程的安全的话， https 。

如果只代码安全的话，能得到 token 的就是有帐号密码的人。

别人都有帐号密码了，到底问题是啥？

怕浏览器开发商偷你的资料？

kanezeng

2016-08-10 11:27:01 +08:00

@a199261800 你的 js 应该是读取登陆框的用户名和密码信息啊，然后通过 https 发送到服务器。服务器验证通过后返回一个针对这个登陆的 JWT 给你啊。 JS 里面只有业务逻辑，没有登录信息啊？

tabris17

2016-08-10 11:28:14 +08:00

Restful 关跨域什么事？风马牛不相及的事情

你要说身份验证和权限验证的方式，倒是有很多

murmur

2016-08-10 11:38:02 +08:00

什么叫跨域的安全性？首先保证你能用 https 如果 token 丢了神仙都救不了你

jackmasa

2016-08-10 11:55:51 +08:00

你对一些安全概念缺少了解，比如： CSRF 、 token

vjnjc

2016-08-10 16:24:56 +08:00

@jarlyyn 同意。。。楼主只是纯粹的担心吧

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.