我已经使用Google搜索了一天以上。可能是我错过了正确的关键字。在Angular2中保证API密钥的安全
我有以下设置:
- ExpressJS API
- Angular2应用(与PM2在端口3000上运行) - 通过nginx的
在同一台服务器上运行两个服务 。
对API的调用(MYDOMAIN/API /)代理到127.0.0.1:3000
对于需要授权,我将使用智威汤逊和用户身份验证API调用。
我想要实现的是我为我的angular2应用程序生成一个令牌,该应用程序允许/需要进行公共呼叫(例如产品清单)。
当我不希望别人通过直接api调用(使用盗取的令牌)获得我的产品和价格时,此令牌需要安全地传输。
任何帮助表示赞赏。
对不起,我在这部分有点愚蠢。当然我会设置https。但是我仍然必须将我的公共令牌包含在角度应用程序的Request Header/url param中,因此任何人都可以看到它。或者我错过了什么? – user1261284
请参阅wiki,因为https是加密标题的应用程序层协议。 – eesdil
是的,你的桅杆在每次通话中都包含标记。但是这个令牌是在服务器上生成的......我现在有类似的设置(express-angular 2),我将在这里提交我的工作流程作为答案。 –