前后端分离的项目如何防止 api 被第三方利用

2019-02-14 10:53:19 +08:00

imherer

假如 api 是不需要任何鉴权，就像 v 站的 api 一样，第三方可以利用 api 去做一些小程序或者内容展示的网站

我不想让第三方利用我的 api，但是又不能做鉴权

这个好像是不能杜绝的吧，只能从利用 api 的难度方面入手？

13734 次点击

所在节点

88 条回复

yankebupt

2019-02-15 13:48:18 +08:00

觉得楼主不想搞鉴权已经不容易了，本来鉴权挺好的也不费多少资源，被大毒瘤们一鉴权就扯实名扯隐私收集扯这个那个搞臭掉了......
不知楼主的站有没有一般屌丝用的版本(不搞鉴权的话猜测很可能有个一般不登陆展示用的页面)，哪天没事可以去看看^_^

niknik

2019-02-15 13:51:32 +08:00

前后端令牌对比，令牌生成再加密

Amecy

2019-02-15 15:00:02 +08:00

ssr + jwt 呢？

tonyaiken

2019-02-15 15:23:50 +08:00

@Malthael 楼主讨论的情况就是请求是从浏览器发出的，这种情况没法做 IP 白名单。

DavidNineRoc

2019-02-15 16:03:43 +08:00

@ralaro 源码是放在腾讯上面的,你怎么反编译?

zqx

2019-02-15 16:37:25 +08:00

前后端分离不变，中间加 node 服务器。前端请求 node 服务器，node 服务根据 referer 过滤第三方的请求，后端 API 只供 node 服务内部调用，不对外暴露

KomeijiSatori

2019-02-15 16:50:27 +08:00

@DavidNineRoc 小程序运行会缓存到本地的, 并且可以解开混淆

https://github.com/qwerty472123/wxappUnpacker

xfriday

2019-02-15 19:44:31 +08:00

1. 不能鉴权
2. 不让一部分人调用

这需求要是产品提出来，打死它，狗屁逻辑不通，就跟“我要这个 Button 即是红的，又是蓝的”一样蠢

第 5 页／共 5 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.