Điểm:0

Cách hạn chế quyền truy cập API vào cổng chạy trên trình duyệt thông qua Nginx

lá cờ lk

Kịch bản

Tôi có một hệ thống với máy chủ api và giao diện người dùng (trang web tĩnh chạy trên trình duyệt) và chúng được cung cấp công khai dưới 2 tên miền a.example.com và a-api.example.com

Câu hỏi

Làm cách nào để hạn chế quyền truy cập vào api của tôi tại a-api.example.com chỉ đối với giao diện người dùng của tôi (ví dụ: không ai có thể tùy ý Xoăn với nó và có thể truy cập)? Hoặc là nó có thể ở tất cả?

Nếu bạn có thể thêm một khối nginx mẫu thì thật tuyệt.

Điểm:1
lá cờ us

Bạn không thể chặn hoàn toàn các cuộc gọi curl.

Tuy nhiên, bạn có thể làm cho chúng khó khăn hơn bằng cách yêu cầu tiêu đề liên kết giới thiệu HTTP đó được đặt thành api. Bạn có thể dùng mô-đun giới thiệu HTTP nginx cho việc này. Một cấu hình ví dụ:

người phục vụ {
    valid_referers a-api.example.com;

    nếu ($invalid_referer) {
        trả lại 403;
    }
}

Điều này không thêm bất kỳ bảo mật nào vào trang web của bạn. Việc kẻ xấu thêm tiêu đề HTTP bắt buộc khi đưa ra yêu cầu là chuyện nhỏ. a-api.example.com.

Do đó, điều quan trọng là các phương pháp bảo mật tốt nhất được sử dụng trong quá trình triển khai API của bạn.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.