关于前端 token 安全问题

@zzzmh HTTPS 的话，F12 是看不到的，但是你请求的参数写死的话，在 JS 代码里肯定找得到

@BruceXHe #8 你们是内部后台管理系统还是面向 c 端或者 b 端的什么系统，这个要看场景

请求加签名， 加上时间戳，path，salt 等关键参数，后端看来源 referer

@BruceXHe 可以拿 fingerprint 之类的信息，然后从后端获取公钥做非对称加密，然后限定指定的 fingerprint 才有权限，密钥对也可以做轮换。

@libook 好的，抱歉，我再说一下我的场景。

我们有一个商品列表，商品详情接口，VUE 页面展示用，但是这个接口在用户没有登陆的时候是可以看到了的。
当然购买的时候需要登陆，这个是没问题的。

因为这些商品是一些比较敏感的数据（商品是我们的优势，我们不想登陆之后才看得到，但是要也防止被人利用），我们就想着怎么保护这个接口。

背景大概是这样！
你可以理解和 clientid/clientkey/token 没有半毛钱关系

@BruceXHe 当然，不获取公钥，只获取一个随机因子也可以

@BruceXHe 那你这个场景是防止 API 被滥用，不是鉴权，你开始方向就错了。

@maichael 嗯，我们的初衷是，不让任何人可以调用我们的接口，只能通过页面看到信息。现在我们打算不做 WEB 版，只做 APP （内嵌 VUE，密钥存在 APP 里，APP 加固）

jwt 完事

@BruceXHe #25 又要让大家都看见，又要防止被坏人看见。这不是无解么？最多只能在反爬上下功夫了。

无解

@KuroNekoFan 和 jwt 有啥关系，他不需要鉴权

建议加入 rand,time 等参数通过一系列复杂的计算得出一个计算值，再和后端进行比对。
前端加密部分代码保护好，加上接口限速和云端风控至少破解成本会大大增加

需求和现有逻辑冲突，无解。只能提高他们自动化获取的难度，不可能没办法获取

@baiyi 嗯，日前 是无解了。

我们的初衷是，不让任何人可以调用我们的接口，只能通过页面看到信息。现在我们打算不做 WEB 版，只做 APP （内嵌 VUE，密钥存在 APP 里，APP 加固）

限制接口的调用频率，前端页面缓存数据。
被人滥用无非就是高频率的调用，否则你就当 TA 是普通人呗。

难道不是 类 OAuth 的用户名密码换取凭据然后凭据+ssl 吗

如楼上所说，按你描述的需求，只需要网关限制接口的调用频率即可

@BruceXHe 内嵌 VUE 也可以通过抓包方法获得 Token 的获取过程，如果真准备只做 APP 那就不应该继续采用内嵌 WEB 方案，而是所有接口都做加解密，保证数据即使窃取到也不可读

通过 clientId,clientKey 获得 token 本身就不应该通过前端获取。

一般涉及到 clientId,clientKey 的都是第三方应用接入才这么干，第三方应用服务器直接跟你们服务器交互，通过 id 和 key 获取 token 。

你们自己的内部的应用用这种方式怕不是闲的蛋疼，难道每一个新的浏览器就开一个新的 clientid ？必然不是啊，那问题就来了，所有用户都用同样的 id 和 key，那还有什么意义呢？