0
私は疎結合のアプリケーションを2つの部分に分けて開発しています。サーバ側は、信頼できるクライアントが消費するAPIサーバとしてexpress.jsを持つnode.jsで開発されています。これは、異なるHTTP Restfulエンドポイントのみを公開しています。 API Serverは、完全なドメイン間アクセスに対応しています。信頼できるクライアント以外のAPIへのアクセスを保護する最良の方法
クライアント側は完全に独立して開発されており、別のドメイン名で公開されているウェブサイトとなる別のサーバー(apiサーバー以外)にホストされています。
私はAngular2に開発しています唯一の信頼できるクライアントは私のAPIにアクセスできることを確認したいですか?信頼できるクライアントのみがAPIサーバーにアクセスできるように、APIを安全にする方法を教えてください。どのようにしてクライアントの信頼性をチェックできますか?
私が考えることができるアプローチの1つは、CORSのドメインをフィルタリングすることです。特定のドメインだけがapisにアクセスできるようになります。しかし、私はそれが認証と承認のような最も安全な方法だとは思わない。
どのクライアントでもApp KeyとApp Secretを使用すると、エンドユーザーにエクスポートされ、偽のクライアントを作成してコピーしてapisを消費できますか?このような緩やかに接続されたアプリケーションを設計する最も信頼できる方法は何ですか?
CORS + JWTは、高いレベルのセキュリティを提供する強固な標準です。 –