前后端分离的项目如何防止 api 被第三方利用

@Chingim 可以，但是伪造出来的数据不够顺滑，比如鼠标移动范围，速度，页面停留时间等等。况且伪造这个，对于爬虫来说爬取效率就降低了，对于规则的研究成本高了。说白了爬虫和防爬就是回合制，不断的完善自己的过程

生成一个证书，给用户发个公钥，调用 API 需要提供公钥加密的密码

把前端项目改为后端渲染模式。API 服务对外不可见，只有服务端的前端服务自己可访问。用户拿到的就是渲染后的数据，同时也实现了前后端分离

内网

这么折腾还是直接加个鉴权来的舒服，毛病。

你的客户端是什么端，ios 安卓这种应该可以加客户端证书，双向验证，H5 网页的话，这个真没办法，前端再怎么加密基本也能被破

限流啊

楼主又不加锁还想防盗 怎么可能

如果不是什么要紧的东西，开放个 API 也挺好的。

如果是网站，你可以在后端判断一下来访的地址是否合法;
如果是客户端，那你就要协定一种密钥方式，提交数据时后端难证`密钥是否合法;

这应该叫防重放吧。。。。后台动态参数，前端非对称加密后放到 header。只有你能用。。。。

@flyingghost 这个比喻好，不想鉴权的需求就好比不要上锁还想要防小偷似的；

加一个 key 吧，就明文给前台，但是这个 key 不规律的自动更换，能挡住大部分人了

rate limit

首先，你怎么得到这个客户端是自己的？
假如客户端是浏览器，服务端下发一个 session token 给客户端浏览器，客户端浏览器通过这个 session token 取得会话权。(既然是 session 就要有时间限制)
假如客户端是手机，需要 @xuanbg 说的： 生成一个证书，给用户发个公钥，调用 API 需要提供公钥加密的密码

个人一点意见，什么价 referer 简直就是笑话，限制 ip 次数你拿各种代理池闹着玩的，是我的话，前端和后端通信密文传输，密文的加密结果涉及到各种用户的鼠标手势、停留时间等等，当然这个也不可能完全防得住

总之，没有绝对的防止手段

参考微信的完全封闭，路子狂野

我不想让第三方利用我的 api，但是又不能做鉴权

为啥不行，JWT、oauth2 都可以

放在内网里

求教一下 怎么获取别人的 API。