前后端分离的项目如何防止 api 被第三方利用

鉴权 = 识别客户端合法性。你都放弃鉴权了，等于是放弃识别能力了，又怎么要求“识别”自己人和第三方呢？
就像我家大门不需要钥匙推门就进。但我要防贼。这么等价替换的话，你就会发现，你得有一双贼眼，能发现贼身上自带的一些本征：衣着、神情、习惯动作、气味、面相、指纹、DNA。。。
然鹅，以上在 http 世界都可以仿冒，仿冒门槛还挺低，成本和技巧难度远低于 Neal Caffrey 仿冒一个良民。

@imherer #17 这本身在逻辑上就是矛盾的.. 既不想给门上锁，又不想小偷轻易偷到你的东西

内网

@flyingghost #21 鉴权是识别用户是否有访问资源权利的过程，和客户用什么渠道去访问没关系。

把游客的 rate limit 做低点就凑合吧。

不想让第三方利用，首先你需要一个能够鉴别什么请求是第三方的规则。
方法有很多种，AK+SK，JWT，等等，如果这些都称作鉴权，那意思就是不能使用规则。
不能使用规则的话，就划一个 private network，把第三方隔离出去。

我觉得楼主想找的答案，不应该是不能使用“鉴权”，而是无侵入或者低侵入的方案吧。

@DavidNineRoc 小程序用的 api，这种有没有教程推荐一下，最近要做，学习一下

@index90
``我觉得楼主想找的答案，不应该是不能使用“鉴权”，而是无侵入或者低侵入的方案吧``

就是这个意思，我表达的不对

@Heavytiger 直接搜 sign 参数验证. 很多 api 后端与后端的都是使用这种方式. 如短信平台之类的,如果是小程序,你的源代码别人看不见,可以当做`后端`代码
如果是 web, 代码能被别人看到,那么内网通信 api 是最好的做法

@imherer 爬虫你是很难防的，就算是鉴权也不能。
但是根据你的描述，主要是防止其他网站调用你的 API，这样就可以通过 referer 来禁用

@geelaw #24 我的意思是对比现实世界，除了协议信息“钥匙”之外会有大量协议之外的本征信息逸散出来供我们利用。但在计算机世界 http 调接口这个场景下，ip、referer、ua、时频、参数特征和分布。。。本征信息少很多，而且要么无法利用，要么伪造简单，要么效果不佳。

其实 lz 提出的问题 X 背后，我更好奇的是问题 Y：为什么会有这样的需求场景？原始需求有没有放弃鉴权之外的其他方案？

客户端合法性是个无解的问题，只能不断玩躲猫猫的游戏，没法从根本上杜绝

如果不鉴权的话，楼主你从逻辑上如何区别客户端和第三方？行为上有什么不同？

这和爬虫和反爬虫其实是一个道理。只能增加反爬难度

加密啊

不做鉴权的话就前端生成用户指纹，然后把用户行为记录下来同步给风控端，风控端通过分析用户行为给到后端该用户是人是鬼，行为是否合法等，后端再考虑接口要不要返回数据。但是这一整套风控端搞下来，需要用户行为模型，还有一些规则。而且要保证是实时分析和处理。不是一件容易的事

没办法的啊。只能提高难度让它没有收益。

@NjcyNzMzNDQ3 security-x5 是什么？

最简单方式就是定期改接口

@deepdark 用户行为的数据不是也可以伪造吗？