是否可以将API限制为仅限一个Web界面/应用程序？

Question

我对跨产品政策有疑问。

我有一个Web应用程序，获取数据，通常以JSON格式，通过AJAX。

当Web应用程序初始化，独特的“关键”或“令牌”从服务器通过AJAX创建并发送到客户端，作为一个平均值来识别它。每次ajax调用都会发送令牌用于验证目的。如果在两个小时内未验证，则PHP脚本将其删除，并且用户需要再次对其进行身份验证。

如果用户发送另一个Ajax呼叫（即，如果有活动与关联的令牌），令牌将其过期2小时。

每次调用，我验证令牌，然后处理请求。一切运作良好，但我的问题是安全导向。由于令牌存储在客户端（非常粗糙，如window.token = 'YTM0NZomIzI2OTsmIzM0NTueYQ==';），恶意用户不可能检查代码，复制包括令牌在内的JavaScript，并创建另一个可访问相同令牌的应用程序数据？

Answer 1

Since the token is stored client-side (very crudely, like window.token = 'YTM0NZomIzI2OTsmIzM0NTueYQ==';), won't it be possible for malicious users to inspect the code, copy the JavaScript including the token, and create another app that will access the same data?

是的。

可能更令您感到困扰的是：即使您的令牌存储在客户端甚至都无关紧要 - 他们甚至可以使用您公开给用户的相同API登录。登录（如果你觉得你没有登录API，因为它是一个表单提交或类似的东西，你在愚弄自己 - 表单POST是一样多的“API”为别的......和可以很容易地复制到其他地方）。

跨域的东西已经很少做任何事情 - 因为这是一个浏览器的客户端限制 - 用于用户的保护 - 不是你的。我可以通过桌面或服务器进行任何HTTP请求。我甚至可以设置一项服务，该服务允许我将所有对我的服务提出的请求代理到您的服务中......所以浏览器中的跨域安全性对您没有任何帮助。