- 主题:前后端分离的项目如何阻止未经认证的前端访问
是你这个方案太简单了。
- 来自 水木社区APP v3.5.7
【 在 iwannabe 的大作中提到: 】
: 大部分框架分功能权限和数据权限,功能权限是在数据库屏蔽前端的菜单来实现的。
: 而我自己如果跑一个前端,就可以绕过功能权限,
--
FROM 223.104.39.*
那你可以重新阐述你的需求
如果需求是“安全”,上面给的建议基本都 中规中矩/至少不离谱
大家的建议集中在改造后端上这实际上就是一种共识,“前端是不靠谱的,不安全的,包括前端的代码”
【 在 iwannabe 的大作中提到: 】
: 你根本没了解需求
:
--
FROM 111.206.87.*
1,你的需求是什么就说直接,这么多字没看出来期望结果是什么
2,我天天写的就是这个东西,虽说不敢说了解所有的类型,但常见还是知道,实践过的
3,你提到“token验证”应该包括权限,也就是对某一接口访问的权限验证,有这个就提高安全了
4,我的前端是web,是postman,是swagger,是httpclient,是python,这个不用想象,每天都在用
总之,你对“安全”的需求是啥?,相信目前市面上都会有基本解决方案(不验证还要安全是不存在的)
【 在 iwannabe 的大作中提到: 】
: 了解前后端分离的架构你就知道,所谓前端,某个功能就是访问一堆后端接口的集合。认
: 证后,通过jwt返回一个token,然后后续的接口访问都带上这个token来做认证。
: 你在本地启动一个前端,使用分配给你的普通权限账号,就和访问生产前端一样的效果。
: ...................
--
FROM 111.206.87.*
看 楼下 Donlleir 帖子吧,基本说清了
取决于你反非法访问,还是爬虫,还是外挂
【 在 iwannabe 的大作中提到: 】
: 换个说法,怎么禁止postman直接调试生产环境的后端,懂了吗
:
--
FROM 111.206.87.*