如何在没有认证和授权方法的情况下保护公共端点
如何在没有认证和授权方法的情况下保护公共端点
提问于 2019-06-27 07:34:41
如何防止公共终结点可以在web应用程序的上下文之外使用?
我有一个用ReactJS开发的web应用程序,它使用使用Net Core2.0的C#开发的公共应用程序接口。一些端点是公共的,这意味着这些端点不使用某种身份验证或授权方法。那么,我如何保护这些公共端点,以防止在我的web应用程序的上下文之外使用它们,例如,不使用Postman的端点,并防止被机器人攻击。
Cors被启用为: origins -> "",headers -> "“和methods -> "*”。这个应用可以在世界的任何地方使用。
一个合作伙伴告诉我一个疯狂的想法,当公共端点被使用时,无论如何或什么,从端点重定向到带有验证码的网页,端点等待,直到验证码成功,然后它将继续事务。
回答 1
Stack Overflow用户
发布于 2019-06-27 07:50:00
如果公共API不使用任何身份验证和授权,您将无法控制其使用(除了类似防火墙的功能,如IP范围)。
Captcha重定向对你没有真正的帮助:你失去了在你的应用程序中无缝使用API的可能性:只需在浏览器中简单地点击“开发人员工具”,每个人都能够以与在你的应用程序中使用时完全相同的方式调用它。
最简单的解决方案很可能是创建某种身份验证&身份验证:为无法解决的安全问题寻找解决方案,因为从定义上讲,安全是不安全的,这将花费您更多的时间,令人头疼的问题和安全漏洞,而不仅仅是做好它。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/56782160
复制相关文章
相似问题
腾讯云开发者
