前后端分离的项目如何阻止未经认证的前端访问

水木社区手机版

主题:前后端分离的项目如何阻止未经认证的前端访问
楼主|iwannabe|2023-05-12 10:58:04|只看此ID
比如我在本地起一个前端，连接生产的后端，这样就可以实现一些原来系统不提供的功能

尤其是开源的代码，怎么防止这种情况发生呢
--
FROM 119.139.196.*
1楼|GoGoRoger|2023-05-12 11:17:59|只看此ID
一般写nginx规则吧，然后后端写一些简单的校验啊

【在 iwannabe 的大作中提到: 】
: 比如我在本地起一个前端，连接生产的后端，这样就可以实现一些原来系统不提供的功能
: 尤其是开源的代码，怎么防止这种情况发生呢

※ 来源:·水木社区 http://www.mysmth.net·[FROM: 123.121.150.*]

FROM 123.121.150.*
2楼|iwannabe|2023-05-12 11:33:27|只看此ID
没有用，后端暴露的api都可以访问，目前想到的是除了限制refer，还没有想到其他方案
当然，如果权限完善的话，也不是什么大问题

【在 GoGoRoger 的大作中提到: 】
: 一般写nginx规则吧，然后后端写一些简单的校验啊
: ※ 来源:·水木社区 http://www.mysmth.net·[FROM: 123.121.150.*]
--
FROM 119.139.196.*
3楼|RuralHunter|2023-05-12 12:25:33|只看此ID
是我误解了什么？这不就是后端基本的权限系统要干的事？

【在 iwannabe 的大作中提到: 】
: 比如我在本地起一个前端，连接生产的后端，这样就可以实现一些原来系统不提供的功能
: 尤其是开源的代码，怎么防止这种情况发生呢
--
FROM 116.232.53.*
4楼|iwannabe|2023-05-12 13:29:45|只看此ID
大部分框架分功能权限和数据权限，功能权限是在数据库屏蔽前端的菜单来实现的。
而我自己如果跑一个前端，就可以绕过功能权限，

【在 RuralHunter 的大作中提到: 】
: 是我误解了什么？这不就是后端基本的权限系统要干的事？
--
FROM 119.139.196.*
5楼|RuralHunter|2023-05-12 13:42:07|只看此ID
擦，这个太low了

【在 iwannabe 的大作中提到: 】
: 大部分框架分功能权限和数据权限，功能权限是在数据库屏蔽前端的菜单来实现的。
: 而我自己如果跑一个前端，就可以绕过功能权限，
--
FROM 116.232.53.*
6楼|dapudong|2023-05-12 14:14:21|只看此ID
jwt token 了解一下
--
FROM 122.5.15.*
7楼|hgoldfish|2023-05-12 16:45:31|只看此ID
有这种后端？难道不都是在后端判断一下当前登录的用户角色，返回 401 ?

【在 iwannabe 的大作中提到: 】
: 大部分框架分功能权限和数据权限，功能权限是在数据库屏蔽前端的菜单来实现的。
: 而我自己如果跑一个前端，就可以绕过功能权限，
--
FROM 124.72.108.*
8楼|hothail|2023-05-12 19:33:38|只看此ID
是你这个方案太简单了。
- 来自水木社区APP v3.5.7
【在 iwannabe 的大作中提到: 】
: 大部分框架分功能权限和数据权限，功能权限是在数据库屏蔽前端的菜单来实现的。
: 而我自己如果跑一个前端，就可以绕过功能权限，
--
FROM 223.104.39.*
9楼|iwannabe|2023-05-13 00:41:33|只看此ID
当然是你已经在后端有用户了，
前后端分离的项目，你前端起在哪里都可以

【在 hgoldfish 的大作中提到: 】
: 有这种后端？难道不都是在后端判断一下当前登录的用户角色，返回 401 ?
--
FROM 120.229.207.*