0
現在、APIとフロントエンドのJSライブラリを使用してWebアプリケーションを実装しています。セキュリティの観点から現在発生している問題の1つは、APIとフロントエンドの開発
です。これらのAPI呼び出しをフロントエンドコードで公開するのは問題ですか? これは公開ウェブサイトになるため、API呼び出しの例はすべての利用可能な商品を取得することになります。ウェブページはAPI呼び出し(ユーザーはサインインせずに)で利用可能なすべての製品を表示できますが、他のユーザーがこの呼び出しをウェブサイト外で行うことはできません(例えば、フィドラーのようなツールを使用する場合など)。
私は、公的にアクセス可能なウェブサイトのフロントエンドでAPIを使用するためのアーキテクチャパターンおよび/またはベストプラクティスを探しています。
httpリクエストは、様々な方法を使用してから来ているところは非常に多くのAPI自体
HTTPリクエストの相手側で何が起こるかを制御することはできません。その現実を念頭に置いてアプリケーションを設計する必要があります。 – Pointy
これは非常に幅広い質問ですが、答えに最も近いのは、API **がすべてのセキュリティを提供しなければならないことです。クライアントを信頼することはできません。 – ssube
*任意の指針/リンク* - リンクを求めることはできません。オフサイトのリソースを見つけたり、推奨したりする要求は、話題にはなりません。 – BSMP