Есть приложение SNS с 2 серверами. Сервер веб-сервера и сервер REST API.Как защитить REST API при использовании AJAX?
- Веб-сервер позволяет пользователю Логин/выход из системы с именем пользователя/пароль, и показать пользователю информацию
- Сервер API REST предоставляет API, как/тем,/комментарии, она должна быть без гражданства без сессии
- The Rest API будет обслуживать другие веб-приложения
Существуют некоторые потенциальные решения, но ни одна из них не является безопасностью.
- Base Auth, браузер удерживайте имя пользователя/пароль
- токен с истечением временной меткой, проблема пользователь может оставаться на странице, пока маркер не истечет
Итак, есть ли способ защитить REST API при вызове из AJAX?
Защита API от кого или что? От пользователей веб-сервера? От совершенно незнакомых людей? Из XSS? Из CSRF? –