你不给用postman的人账号就行了。

如果他有账号，那么就限制这个账号的数据权限，换句话就是接口权限，靠后端控制。

再其次，如果他有账号，只让他通过既定的web前端访问对其授权的数据接口，而不能用类似postman的方式访问，那么就是反爬虫那一套手段。

【 在 iwannabe 的大作中提到: 】
: 换个说法，怎么禁止postman直接调试生产环境的后端，懂了吗
:
--
FROM 180.167.122.*