前后端分离的项目如何阻止未经认证的前端访问

水木社区手机版

主题:前后端分离的项目如何阻止未经认证的前端访问
30楼|tgfbeta|2023-05-16 22:33:45|只看此ID
要求登陆，给cookie session
然后按session对数据进行authorization
实现不同用户区别对待
这个老的framework里一般都有各种中间件来实现
【在 iwannabe 的大作中提到: 】
: 没有用，后端暴露的api都可以访问，目前想到的是除了限制refer，还没有想到其他方案
: 当然，如果权限完善的话，也不是什么大问题
--
FROM 111.163.120.*
31楼|adamhj|2023-05-16 22:37:14|只看此ID
【在 VincentGe 的大作中提到: 】
: 我理解他的需求了，他说的不是安全校验权限问题。
: 他的意思是如何避免第三方客户端。例如有人或组织对原客户端不满意，开了一个项目，做了一个第三方客户端，已知账户密码，如何防止第三方客户端访问资源。
: 例如，我对zh移动端APP不满意，通过逆向工程，获取了其API接口协议，编写了第三方客户端，拦截了广告投发，对其造成损失，该zh该如何避免。
: ...................

你说的确实是个问题，但是他这么说，好像和你这个理解又不一样

【在 iwannabe 的大作中提到: 】
: 大部分框架分功能权限和数据权限，功能权限是在数据库屏蔽前端的菜单来实现的。
: 而我自己如果跑一个前端，就可以绕过功能权限，
--
FROM 111.78.78.*
32楼|tgfbeta|2023-05-16 22:38:27|只看此ID
如果用错一次打断腿，第二次开除
【在 Donlleir 的大作中提到: 】
: 你不给用postman的人账号就行了。
: 如果他有账号，那么就限制这个账号的数据权限，换句话就是接口权限，靠后端控制。
: 再其次，如果他有账号，只让他通过既定的web前端访问对其授权的数据接口，而不能用类似postman的方式访问，那么就是反爬虫那一套手段。
: ...................
--
FROM 111.163.120.*
33楼|adamhj|2023-05-16 22:38:47|只看此ID
不需要本机是后端服务器啊，1里说的CORS验证是在user agent(浏览器)上的实现的，2里说的api网关验证说到底还是对浏览器发过来的referer的验证，那我骗过本机浏览器就行了

【在 cn62 的大作中提到: 】
: 你这说了个啥，难道本机就非得是后端服务器？
: 他这东西后端不加权限控制本来就无解的东西，能堵一点是一点，这么认真干嘛。
--
FROM 111.78.78.*
34楼|VincentGe|2023-05-16 23:29:56|只看此ID
这个对功能权限的认识有误，假如用VUE做，所有的功能都已经实现好了，突破限制性的功能无非是投入资源进行逆向。

但是！功能是是由数据支持的，没有数据，功能便没有意义，这个又回到了后端权限管理。
如果，不需要数据，这个功能真的有必要限制吗？需要指出的是，这个功能限制没有太大意义，因为即使不逆向，用户也可以自行增加，所以就回到我上面的问题。
当然，这个问题并非不能解决，动态加载技术与服务端渲染一定程度上可以缓解这个问题。

主要，我觉得还是系统架构设计能力有限，做的不好。

【在 adamhj 的大作中提到: 】
:
: 你说的确实是个问题，但是他这么说，好像和你这个理解又不一样
:
--
FROM 118.81.85.*
35楼|hgoldfish|2023-05-16 23:48:30|只看此ID
如果是这种第三方的客户端，好像没太好的办法。游戏和电商平台都是重灾区，他们面临的就是第三方客户端，也就是外挂。

【在 VincentGe 的大作中提到: 】
: 我理解他的需求了，他说的不是安全校验权限问题。
: 他的意思是如何避免第三方客户端。例如有人或组织对原客户端不满意，开了一个项目，做了一个第三方客户端，已知账户密码，如何防止第三方客户端访问资源。
: 例如，我对zh移动端APP不满意，通过逆向工程，获取了其API接口协议，编写了第三方客户端，拦截了广告投发，对其造成损失，该zh该如何避免。
: ...................
--
FROM 183.253.143.*
36楼|licy|2023-05-18 10:45:20|只看此ID
对于敏感接口，验证用户的权限就行了

【在 iwannabe 的大作中提到: 】
: 比如我在本地起一个前端，连接生产的后端，这样就可以实现一些原来系统不提供的功能
: 尤其是开源的代码，怎么防止这种情况发生呢
--
FROM 60.253.137.*
37楼|eggcar|2023-05-22 15:07:54|只看此ID
TLS双向验证
可信客户端里塞个证书就是了，剩下就是怎么加壳防止证书泄露了

【在 hgoldfish 的大作中提到: 】
: 如果是这种第三方的客户端，好像没太好的办法。游戏和电商平台都是重灾区，他们面临的就是第三方客户端，也就是外挂。
:
--
FROM 111.198.57.*
38楼|Inshua|2023-05-25 12:17:45|只看此ID
给接口名/参数名加salt，每回都不一样，每小时换一次
使用长连接，不要用restful，全程 websocket 通讯
--
FROM 122.193.54.*
39楼|ma6|2023-05-28 01:44:59|只看此ID
加上带时间戳的签名验证，只要签名密钥保密，就是安全的
【在 iwannabe 的大作中提到: 】
: 比如我在本地起一个前端，连接生产的后端，这样就可以实现一些原来系统不提供的功能尤其是开源的代码，怎么防止这种情况发生呢 ...
--
FROM 163.125.230.*