我在SPA *上工作很多。 因此,我正在使用基于API的后端来获取SPA-ORMs *的实体数据。 这很简单并且可以正常工作。
现在,我正在一个私人项目,该项目将被许多人使用。 我想防止没有SPA的情况下滥用我的API。 有没有办法使脚本小子更难滥用API?
回到我的时代:DI曾经使用简单的密钥在很低的级别上加密数据。 但是,使用最新的fe chrome开发工具,您可以轻松调试SPA中的任何内容,以及如何对数据进行加密/解密。 我在这里没有选择。
我对保护连接不感兴趣,因为SSL对我来说足够好。 用户密码安全性也足够安全(现代框架在这里可以很好地工作)。 我只是不了解,如何在没有我的SPA的情况下更难使用API。 我正在开发这两个方面,因此我可以随心所欲地制作API-您有技巧,最佳实践和想法吗?
脚注: