想问一下,做前后端分离的大佬怎么做的后端 api 安全

2018-07-06 02:36:13 +08:00
 guolaopi

如题,最近在学 vue。一直写.net 的。 在感觉 vue 写页面很爽的时候突然想到,数据都是通过 ajax 传递,后端的 API 是否有什么方法提高安全性?不然增删改这种敏感操作接口暴露被攻击了就不好了。。

4708 次点击
所在节点    Vue.js
17 条回复
df4VW
2018-07-06 02:44:51 +08:00
这个跟前后端分离是没关系的,是你逻辑层面要限制你这个用户的权限,不可能你一个普通用户能修改 admin 的密码对吧
xingyue
2018-07-06 07:26:20 +08:00
每次请求都带上 token 验证用户身份
ebony0319
2018-07-06 07:41:49 +08:00
https,OAuth 2.0,token,sign
ebony0319
2018-07-06 07:42:17 +08:00
https,OAuth 2.0,token,sign,再复杂一点用对称加密。
berumotto
2018-07-06 08:59:09 +08:00
identityserver4
guolaopi
2018-07-06 09:11:10 +08:00
根据 cookie 来判断用户权限吗?
guolaopi
2018-07-06 09:11:35 +08:00
@df4VW 根据 cookie 来判断用户权限吗?
guolaopi
2018-07-06 09:11:53 +08:00
@berumotto 公司项目有在用,感觉不太好用。。
guolaopi
2018-07-06 09:12:20 +08:00
@xingyue token 放到 url 里面嘛
guolaopi
2018-07-06 09:12:39 +08:00
@ebony0319 谢啦
Felldeadbird
2018-07-06 10:01:02 +08:00
接口暴露了是必然的,被攻击也是必然的。但是就算没有前后端分离,人家不一样爬你数据,DD 你的站么?
后端安全方面,要做的就是鉴权。防止非法操作 获取到敏感的数据。
xingyue
2018-07-06 10:18:39 +08:00
@guolaopi 请求头里面 Authorization
icekingcy
2018-07-06 10:19:39 +08:00
APIGATEWAY
murmur
2018-07-06 10:20:31 +08:00
简单的权限校验可以用框架 业务上的校验就哭吧
tabris17
2018-07-06 10:20:39 +08:00
权限验证呗,再加个 ANTI-CSRF 的 token 就 OK 了
limerence12138
2018-07-06 10:43:40 +08:00
当你经常看见 401,403 就知道了
mmdsun
2018-07-07 01:31:56 +08:00
jwt, rsa

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/468527

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX