我有一个Express服务器,其中包含几个API路由,就像这样:
server.post("/api/send-email", (req, res) => {
});
});
您无需身份验证令牌即可访问API,但我只希望我的网站mydomain.com可以使用它。我已经尝试启用了这样的访问限制:
function restrictAccess(req, res, next) {
if (req.headers['origin'] !== 'http://localhost:3000') {
res.sendStatus(403);
} else {
next();
}
}
我随后将限制访问作为中间件加入到我的路由中。
当我使用Postman发送POST请求时,我就不能再访问API了,但是我只需更改来源标头即可再次访问。
我如何才能允许只有来自 mydomain.com 的请求?我已经在网上搜索了很长时间,但是找不到任何相关资料。这是否可能呢?
如何只允许来自我的域名为mydomain.com的网页请求?
简而言之,你不能。 任何工具如 Postman 或任何脚本(比如 Node.js、PHP、Perl 等)都可以发送它想要的头或其他请求参数,因此仅使用头部来限制访问只属于你域名下的网页是无效的。
这就是网络的运作方式。
为了限制访问,一般需要用户登录或某些凭证(例如设置 cookie 并进行检查),如果发现 API 被滥用,可以禁止或删除正在滥用的特定用户账户。
还有其他技术可以使脚本或工具更难使用你的 API,但即使如此,它们也无法抵御一个想要付出努力的黑客。例如,你的服务器可以生成一个令牌并嵌入到你的网页中,每当你从网页中进行 API 请求时,都要包括网页上的令牌。然后,你的服务器会检查是否存在有效的令牌。确保令牌在合理的时间内过期,以防止黑客获取一个令牌并长时间使用。
一个决心的黑客仍然可以随时从你的网页中获取令牌,然后使用它,因此这只是一个障碍,而不能阻止一个决心的黑客。
唯一真正的解决方案,就像谷歌等公司使用的API一样,是要求每次API调用都需要某种凭据,并对API的滥用进行检测(例如速率限制、意外用途等),如果发现凭证被滥用,则撤销该凭证。这个凭证可以是开发者令牌(如某些谷歌API)或者可以是用户登录时的某种认证凭据(例如cookie)。