React HTTP 请求问题

#19 代理之后可以不同 react 程序 单纯从 url 访问了，这个不理想

@wudaown #19 哦，我明白你意思了。
说白了就是不希望常规浏览器能随便访问到对吧？
那就在你 react 里请求后端的时候做手脚，比如登录的时候分配一个 token ，然后你放到 axios 的 header 里，后端收到请求的时候先检查一下 token ，如果对，就正常返回，不对就直接跳 HTTP 500 或者 403

@izoabr 这个我已经做过了。。然而通过代理之后登录 API 是可以访问的，也就是说可以通过请求登录拿到 token

如果不想那么费劲，想通过简单一点的手段，就直接改一下 axios 的 User Agent ，在 NGINX 可以直接判断 User Agent ，发现不是你自定义的那个就直接 deny 掉

@izoabr 非常感谢，到现在我也很无解了，代码端各种验证登录自动退出登录，甚至频繁更新 token 我都做好了。。
然后只要登录 api 能直接访问。。。就很难受

@izoabr #21 user-agent 可以通过正常访问手段窃取吧，打开开发者工具就能看到了

@wudaown #26 简单手段肯定破解也简单呗，要复杂甚至可以 RSA 加密，可以去搜下 axios 加密。
我到目前为止还没有办法完全理解你的需求和问题。

我是不是可以通过监测 nginx 日志，在另外在前置服务器上面部署一个程序，去请求资源，然后返回前端。因为前端有 websocket 链接，所以检测程序可以主动发送信息

@izoabr #26 很难理解么？
就是后端资源必须通过 react 程序访问。其他任何方式都不行

这个问题是不可避免的，refer + token 校验下吧

服务端渲染

@oneisall8955 一点办法都没有么。。refer + token 感觉还是很脆弱

@wudaown 在浏览器里发出去的请求不管怎样都是可以被各种工具伪造的

@rioshikelong121 可以多说两句么 谢谢

@izoabr 完全同意

@wudaown #28 那你就别走 HTTP 协议了，除了静态资源，React 运行起来之后就直接走 websocket 跟后端交互呗，或者连一个 MQ 消息服务器，请求啥直接发消息，然后等回复，这也挺好的一个方案，而且给未来后端的扩容留空间。

@rioshikelong121 你不就是怕后端接口被人偷么。。 改成服务端渲染，返回 html 给前端，不就增加了破解难度。当然人家爬你你是难以防住的。。

@izoabr 我一开始是这么做的，然而 websocket 地址还是暴露了。。好像确实无解。。

感觉每隔一段时间就能看到类似的贴子，之前的这些帖子里的讨论应该挺有帮助的，绝对的安全是不存在的，只能去找到一个平衡点
https://www.v2ex.com/t/820478
https://www.v2ex.com/t/806211
https://www.v2ex.com/t/789385
https://www.v2ex.com/t/638264

@wudaown #38 那肯定的，毕竟 React 运行在客户端，有心人肯定会有办法的。
你看天眼查和淘宝什么的，他们为了防止扒数据，一个是服务端渲染，另一个是做用户行为检测，你去淘宝搜东西哪怕你已经登陆过了的实名用户，多翻几页一样跳出防爬虫验证。

要么你就只能牺牲易用性，比如封装一个客户端，然后内部数据走个加密，但也不能完全保证万无一失。
要么就是做用户层面的审核，反正方法也就是那么些，要么相信已注册用户，要么不全信，要么完全不信，完全不信你可以设置请求数据量，甚至可以按量收费。