我是否需要为SPA保护仅支持GET的REST API

问题描述 投票:1回答:1

我有一个JavaScript SPA,它使用了使用Django(Django Rest Framework)构建的后端REST API。这是一个小型的学术项目,可能会定期吸引几百名用户。我们的初步设计假设用户可能希望保存数据,但最近与潜在客户的咨询使我们怀疑是否需要合并此功能。因此,这将完全消除对后端API的POST请求的任何需求,只留下GET。这些GET(通过axios)仅包含路径参数,没有查询参数,并返回小JSON有效负载,用于在应用程序中呈现SVG组件(此数据是只读的静态数据,已存储在后端数据库中)。

假设需要满足用户上传需求,我们还添加了用户登录/注销和帐户管理功能。我们甚至开始考虑整合Auth0。但是,如果我们完全删除用户上传,我们甚至需要以这种方式保护我们的API端点吗?

javascript rest authentication authorization single-page-application
1个回答
0
投票

根据OP中给出的内容,答案是,不,您不需要身份验证。

无论使用何种HTTP动词,只要问问自己,无论您通过REST apis公开的功能是什么,至少,您是否关心如何使用您的API做什么?如果不是你不需要身份验证

基本上,

  1. 您想限制对任何API的访问吗?
  2. 你想把动作绑定到任何角色吗?
  3. 你想审计,(谁做了什么时候)?

如果回答所有这3个是否定的,则不需要身份验证。

© www.soinside.com 2019 - 2024. All rights reserved.