웹에서 Ajax를 사용하여 API를 호출할 때 다른 웹사이트에서 호출하지 못하도록 보안 검증을 어떻게 해야 하나요?
APP 호출인 경우 인터페이스 보안 문제를 어떻게 해결하나요? 그리고 API가 어떻게 공용 네트워크에 노출되지 않을 수 있습니까? 귀하의 APP을 호출할 수 있는 한, 공용 인터넷에 노출된 것으로 간주되지 않나요?
웹에서 Ajax를 사용하여 API를 호출할 때 다른 웹사이트에서 API를 호출하지 못하도록 보안 검증을 어떻게 해야 하나요?
APP 호출인 경우 인터페이스 보안 문제를 어떻게 해결하나요? 그리고 API가 어떻게 공용 네트워크에 노출되지 않을 수 있습니까? 귀하의 APP을 호출할 수 있는 한, 공용 인터넷에 노출된 것으로 간주되지 않나요?
Ajax는 도메인 간 문제를 해결할 수 없습니다. Ajax 데이터를 얻기 위해 서버를 통해 도메인 간 시뮬레이션 요청을 보낼 수 있습니다
두 가지 방법이 있지만 기본적으로 유사합니다. 하나는 요청 헤더이고 다른 하나는 페이지에 입력 토큰을 추가하는 것입니다. 하지만 이 두 가지 방법의 주요 문제점은 토큰을 암호화하는 것입니다.
예를 들어 , 토큰 = md5(IP + 난수 + 타임스탬프 + UID + 세션_비밀) 실제로 콘텐츠를 직접 정의할 수 있으며 주로 암호화됩니다
암호화된 콘텐츠를 세션에 넣고 세션 만료 시간을 설정합니다
1. 헤더를 요청하는 경우
access_token 요청 헤더를 추가하고 백그라운드에서 요청 헤더의 내용을 가져온 후 세션의 값과 비교하면 문제가 없음을 증명하고 세션이 진행됩니다. 무효하다.
2. 요청 헤더와 유사하지만 암호화된 값이 입력에 숨겨집니다. Ajax를 제출할 때 이 값을 가져와서 매개변수에 넣습니다.
APP에 대한 질문은 나중에 답변하세요
APP에 접속하려면 공용 네트워크에 있어야 합니다. 현재 당사의 보안 솔루션은 매개변수 암호화입니다
예를 들어 a=1&n=2를 제출하려는 경우
그런 다음 실제로 제출할 때 매개변수를 암호화해야 합니다. mid=xxx&a=1&b=2&sign=md5(' mid=xxx&a=1&b=2'+key)
mid는 클라이언트가 인터페이스를 호출하기 위한 계정을 나타내며, 계정은 키에 해당합니다
서버는 제출된 매개변수가 올바른지 매번 확인해야 하는데, 이것이 마지막 서명 매개변수입니다
또 다른 중요한 점은 클라이언트가 네이티브 APP인 경우 디컴파일을 방지하기 위해 코드를 난독화하고 암호화해야 한다는 것입니다. 그러면 이 키는 정기적으로 변경되며, 버전이 업데이트되면 키도 변경됩니다
또 다른 방법은 매개변수를 제출하기 전에 모든 매개변수를 암호화된 주소에 제출하도록 요청하는 것입니다. 이 주소는 매개변수를 기반으로 암호화된 토큰을 반환한 다음 실제 매개변수를 백엔드에 제출합니다. 확인을 위해
이 방법의 단점은 네트워크 요청이 한 번 더 필요하다는 점이며 이는 하이브리드 애플리케이션에만 적합합니다
이런 내용은 다른 블로그를 통해 배웠고 Taobao나 JD.com과 같은 앱의 인터페이스가 어떻게 처리되는지는 모르겠습니다.
서버에 추가 설정이 없으면 ajax가 도메인 간에 API를 호출할 수 없습니다. 또한 요청한 도메인 이름을 가져와서 판단할 수도 있습니다.
당신이 승인한 웹사이트만 접근할 수 있습니다
요청 헤더에 액세스 토큰을 추가할 수 있습니다
인터페이스 성격의 API 호출이라면 공용 인터넷에 노출되어서는 안 되며, 프론트엔드 js에 사용되는 ajax라면 사용자가 로그인한 후에만 호출할 수 있도록 보장해야 합니다. , 이는 세션을 확인하는 것을 의미합니다.
ajax 요청 헤더에 token를 추가하세요(예:
<code>$(function() {
$.ajax({
type: "GET",
url: "godruoyi.com",
beforeSend: function(request) {
request.setRequestHeader("token", "asdadsadasdasdadadad");
},
success: function(result) {
alert(result);
}
});
});</code>또는 템플릿 기본 클래스에
을 추가하세요.<code>$.ajaxSetup({
headers: { 'token' : 'xxxxxxxxxxxx' }
});</code>token 로그인 API에서 반환할 수 있는 유효한 값입니다. 이는 애플리케이션에서 설계해야 합니다(신원 확인, 토큰 가져오기). 서버는 이 토큰을 사용하여 사용자를 식별합니다.
은 Oauth2과 다소 유사합니다. oauth2.0
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
