如何保护RESTful服务？

我不知道有什么明显的方法可以做到这点，但很多人似乎正在把Amazon S3作为模型。如果你在客户端代码中放置凭据，那么任何获取客户端代码的人都可以看到它们。我建议您可以编写服务器以向浏览器传回一个有时限的令牌与客户端代码一起使用。客户端代码需要将其发送回服务器以进行访问。这将防止任何人编写自己的客户端代码，因为只有由服务器发送的客户端代码才能工作，尽管仅在某个时间段内。用户可能会偶尔遇到超时，但这取决于您要使令牌超时的严格程度。当然，即使这种方法也可以被黑客窃取令牌并使用其自己的客户端API，但那时您应该感到骄傲，因为有人正在努力使用您的API！我没有尝试过编写这样的东西，所以我对这个问题没有任何实际经验。我自己也想知道，但对于这种架构，我没有足够的经验来了解其他人是否在做些什么。AngularJS论坛上有什么建议？

其他参考资料：保护REST API / Web服务的最佳实践

我建议使用JWT授权。其中一种实现方式是OAuth。基本上，您会获得一个由您信任的机构签名的JSON Web令牌（JWT），该令牌告诉有关用户及其在API上可以访问哪些资源的信息。
如果请求不包括授权令牌，则您的API将拒绝它。
如果令牌在授权机构签署后被某人篡改，试图授予自己特权，则您的API将拒绝它。
这是一个非常酷的工具。
此site网站提供有关不同语言中OAuth实现的信息，希望您喜欢的语言已列出。
一些轻松的阅读可作为睡前读物。

我认为答案是“不行”。

你可以通过一些安全性混淆的方式来保护你的数据。你的REST API可以暴露一些乱码数据，然后你可以在代码中隐藏一些函数来解密它。虽然这显然不是绝对可靠的方法，但如果你在公共网站上公开数据，那么无论服务器还是客户端渲染，数据都已经被泄露了。