前后端分离的项目如何阻止未经认证的前端访问

水木社区手机版

主题:前后端分离的项目如何阻止未经认证的前端访问
20楼|oldwatch|2023-05-15 18:19:08|只看此ID
啥系统这么生猛？基本的权限filter都舍不得写一个？

【在 BA43B09F0725 的大作中提到: 】
: 你这就是装傻白甜了，市场上一半的系统都没有严格的权限控制，你没有这个权限就是把页面藏起来不给你看
: #发自zSMTH-v-@motorola XT2153-1
--
FROM 222.70.23.*
21楼|hothail|2023-05-16 11:58:10|只看此ID
1，你的需求是什么就说直接，这么多字没看出来期望结果是什么
2，我天天写的就是这个东西，虽说不敢说了解所有的类型，但常见还是知道，实践过的
3，你提到“token验证”应该包括权限，也就是对某一接口访问的权限验证，有这个就提高安全了
4，我的前端是web，是postman，是swagger，是httpclient，是python，这个不用想象，每天都在用

总之，你对“安全”的需求是啥？，相信目前市面上都会有基本解决方案（不验证还要安全是不存在的）

【在 iwannabe 的大作中提到: 】
: 了解前后端分离的架构你就知道，所谓前端，某个功能就是访问一堆后端接口的集合。认
: 证后，通过jwt返回一个token，然后后续的接口访问都带上这个token来做认证。
: 你在本地启动一个前端，使用分配给你的普通权限账号，就和访问生产前端一样的效果。
: ...................
--
FROM 111.206.87.*
22楼|cn62|2023-05-16 14:37:30|只看此ID
chatgpt回答的挺好。

【在 iwannabe 的大作中提到: 】
: 了解前后端分离的架构你就知道，所谓前端，某个功能就是访问一堆后端接口的集合。认
: 证后，通过jwt返回一个token，然后后续的接口访问都带上这个token来做认证。
: 你在本地启动一个前端，使用分配给你的普通权限账号，就和访问生产前端一样的效果。
: ...................
--
FROM 36.251.25.*
23楼|iwannabe|2023-05-16 16:20:30|只看此ID
换个说法，怎么禁止postman直接调试生产环境的后端，懂了吗

【在 hothail 的大作中提到: 】
: 1，你的需求是什么就说直接，这么多字没看出来期望结果是什么
: 2，我天天写的就是这个东西，虽说不敢说了解所有的类型，但常见还是知道，实践过
: 的
: 3，你提到“token验证”应该包括权限，也就是对某一接口访问的权限验证，有这个就
: 提高安全了
: ...................
--
FROM 119.139.197.*
24楼|Donlleir|2023-05-16 17:05:35|只看此ID
你不给用postman的人账号就行了。

如果他有账号，那么就限制这个账号的数据权限，换句话就是接口权限，靠后端控制。

再其次，如果他有账号，只让他通过既定的web前端访问对其授权的数据接口，而不能用类似postman的方式访问，那么就是反爬虫那一套手段。

【在 iwannabe 的大作中提到: 】
: 换个说法，怎么禁止postman直接调试生产环境的后端，懂了吗
:
--
FROM 180.167.122.*
25楼|Donlleir|2023-05-16 17:11:58|只看此ID
再说一个魔法打败魔法的方法，你在既定前端里写一个加密函数，对当前时间戳进行加密，每次使用接口时，都要带这个加密值，后端能解开就正常，如果加密值不对或超期，直接返回404即可。

前端的加密函数以及密钥可以代码混淆藏起来。

那么用postman来调试的人，不去破解你既定的前端代码，肯定调试不了。

【在 iwannabe 的大作中提到: 】
: 换个说法，怎么禁止postman直接调试生产环境的后端，懂了吗
:
--
FROM 180.167.122.*
26楼|adamhj|2023-05-16 17:37:11|只看此ID
好啥，他都自己本机起前端了，不能本机改host绑个域名到本机？gpt给的三个答案里前俩都不行

【在 cn62 的大作中提到: 】
: chatgpt回答的挺好。
--
修改:adamhj FROM 202.109.128.*
FROM 202.109.128.*
27楼|hothail|2023-05-16 18:16:35|只看此ID
看楼下 Donlleir 帖子吧，基本说清了
取决于你反非法访问，还是爬虫，还是外挂

【在 iwannabe 的大作中提到: 】
: 换个说法，怎么禁止postman直接调试生产环境的后端，懂了吗
:
--
FROM 111.206.87.*
28楼|VincentGe|2023-05-16 20:31:25|只看此ID
我理解他的需求了，他说的不是安全校验权限问题。

他的意思是如何避免第三方客户端。例如有人或组织对原客户端不满意，开了一个项目，做了一个第三方客户端，已知账户密码，如何防止第三方客户端访问资源。

例如，我对zh移动端APP不满意，通过逆向工程，获取了其API接口协议，编写了第三方客户端，拦截了广告投发，对其造成损失，该zh该如何避免。

【在 Donlleir 的大作中提到: 】
: 你不给用postman的人账号就行了。
: 如果他有账号，那么就限制这个账号的数据权限，换句话就是接口权限，靠后端控制。
: 再其次，如果他有账号，只让他通过既定的web前端访问对其授权的数据接口，而不能用类似postman的方式访问，那么就是反爬虫那一套手段。
: ...................
--
FROM 118.81.85.*
29楼|cn62|2023-05-16 21:35:59|只看此ID
你这说了个啥，难道本机就非得是后端服务器？
他这东西后端不加权限控制本来就无解的东西，能堵一点是一点，这么认真干嘛。

【在 adamhj 的大作中提到: 】
: 好啥，他都自己本机起前端了，不能本机改host绑个域名到本机？gpt给的三个答案里前俩都不行
:
--
FROM 36.251.25.*