如何确保后端只接收前端的调用 2020-09-09 23:59 已经上线的项目为什么还要能通过api访问呢?例如今日诗词等,这样不是就对外放开了通过暴力无限调用的可能?在公网下就应该直接不能通过api拟造参数访问,而是只能通过网页访问。怎么做到这一点呢?**网站要在前端调用后端接口时拼接上特定的参数,我将她称为:htmlauth,这个参数只能由前端特定的js添加,并且添加过程的算法是通过不可逆的加密之后的。**也就是说,别人通过拿到这个前端网页无法还原该算法,然后在后端收到请求时第一时间验证该参数是否正确,正确才继续之后的动作,否则立即返回错误提示,这样就保证了公网下后端接受到的一切请求都是由网页发起的,换言之都是由活人真实操作的。 --END--
发表评论