我使用Apigee作为私有REST API的代理,该API允许在我的数据库上进行基本的CRUD操作。前端开发人员想直接从JavaScript/Ajax调用我的API,所以我不能使用基本的API Key身份验证,因为任何人都可以查看JS的源代码并在API上调用可能具有破坏性的方法(我是远离原点的浏览器中的策略,但这不会阻止某人在浏览器之外进行卷曲并调用我的API)。如何保护在JavaScript/Ajax客户端[apigee]中使用的API?
什么是最好的方法?用户通过身份验证后,UI开发人员能否以某种方式使用OAUTH获取每个会话的访问令牌,并在他的Ajax调用中使用该令牌?但即使如此,该用户无法查看JS源代码并通过curl做一些令人讨厌的事情吗?
在此先感谢!
任何浏览器都可以做,用户也可以做。 – SLaks