前后端分离的项目如何防止 api 被第三方利用

Referer 控制

IP 白名单

既然没有鉴权，完全杜绝不可能，通过编码能 100%模拟浏览器引擎，只能加监控，做策略，防止被滥用

为什么不能鉴权?
确实需要开放,那就限定 ip 调用次数,能防小白

你想一下，为什么你能区别自己的前端和第三方前端，如果你能从逻辑上区别，那说明可以做鉴权嘛。

@c0878 这些 API 都是客户从浏览器发起请求的，IP 白名单不行吧

@ttvast 这个好像也能模拟吧

不鉴权肯定没办法杜绝，不过可以增加一些利用的难度；
比如 api 调用中增加一个 key 参数，这个 key 有效期为一天（或者更短）
这个 key 如何传递到客户端呢？比如在页面中返回，同时页面中对该 key 进行算法加密等等（就是让别人没那么容易拿到这个 key ）

最后就是个互相赛跑的游戏

和防爬虫一样

@Inside 好像区分不了。因为所有的请求都是在客户端发起的，只要是在客户端，第三方都可以模拟。 应该只能像 3 楼说的

限制请求的并发，主要防爬虫一波流

ip 请求频率限制，超过黑名单

淘宝的 security-x5 了解下，分分钟想让你砸了电脑 :doge

@imherer ip 白名单是你部署前端服务器的 ip，跟客户浏览器在哪打开的网站没有关系。

@li24361 就好比做一个文章查看的页面，游客也可以查看所有文章，那么这里如何做鉴权呢？

... 第三方可以利用 api 去做一些小程序或者内容展示的网站

我不想让第三方利用我的 api，但是又不能做鉴权 ....


你这需求怕是要打锤哦， 你到底要不要第三方用你的 API ？？？？
想一顿爆锤
好了，拖下去

@cedoo22 也许是没表达清楚，我的意思是第三方可能会利用 api 去做小程序或者展示网站，但是我不想让他们这样去做...

如果实在 web, 基本不太可能.
小程序的话,别人看不到你的源码.
每一次请求都声称一个 sign 参数验证.
前端: 加点时间戳, 自己小程序写死一个 code, 然后手写一个前后端通用的对称加密算法就行了.
后端: 解密之后,验证是否过期等等...

参数加密后台验证，用户认证 auth 等等。
或者直接不提供接口咯

nginx gateway