D
можно вкрутить какие-то хэдеры, но это как палочка на воротках
Size: a a a
2020 October 02
ВП
вы хотите запретить отдавать данные всем кроме браузера?)
всем кроме конкретного приложения
D
rest api все равно будет отзываться на все запросы, хоть браузер, хоть постман, хоть мобилка
D
потому что на бэк ходит не приложение(SPA), а сам клиент у которого есть это SPA
ДК
Даже если вы организуете JWT то ключ легко отловить и пользоваться им в постмане
ВП
rest api все равно будет отзываться на все запросы, хоть браузер, хоть постман, хоть мобилка
вот и нужно сделать чтобы БЕК понимал что к нему едет приложение и отдавал данные ! А если не приложение то слал лесом ! ТИПА ACCESS DANIED !!!
D
вот и нужно сделать чтобы БЕК понимал что к нему едет приложение и отдавал данные ! А если не приложение то слал лесом ! ТИПА ACCESS DANIED !!!
все что есть на фронте - доступно всем
D
по этому никак
D
всё можно эмулировать
NO
вот и нужно сделать чтобы БЕК понимал что к нему едет приложение и отдавал данные ! А если не приложение то слал лесом ! ТИПА ACCESS DANIED !!!
Расскажите зачем это всё, в чём суть проблемы. Возможно найдётся другое решение.
FL
вот и нужно сделать чтобы БЕК понимал что к нему едет приложение и отдавал данные ! А если не приложение то слал лесом ! ТИПА ACCESS DANIED !!!
И зачем?
FL
Делай oauth2, регай приложение для своего приложения и вперед 🙂
ВП
Расскажите зачем это всё, в чём суть проблемы. Возможно найдётся другое решение.
Будет крупный портал с множеством поддоменов , объявления и т.д !! И совсем не нужно чтобы кто-то пи..л данные напрямую с api
A
Будет крупный портал с множеством поддоменов , объявления и т.д !! И совсем не нужно чтобы кто-то пи..л данные напрямую с api
Забейте, те кто захотят всё равно спи*дят то что им надо, а вы только зря силы потратити
NO
Ну в таком случае это решается на уровне прав пользователей. Определяете роли, определяете доступ для этих ролей, назначаете роли пользователям. И будут у вас пользователи видеть только доступные им данные, что с апи что без.
A
Будет крупный портал с множеством поддоменов , объявления и т.д !! И совсем не нужно чтобы кто-то пи..л данные напрямую с api
пока забейте, сделайте остальное. а потом отдельным слоем сделаете политику кому давать, кому нет
ВП
Ну в таком случае это решается на уровне прав пользователей. Определяете роли, определяете доступ для этих ролей, назначаете роли пользователям. И будут у вас пользователи видеть только доступные им данные, что с апи что без.
Да это понятно пользователь авторизовывается все норм ! Но говорю же что большая часть данных доступна и без какой либо авторизации ! ВОТ НАПРИМЕР ЗАХОДИТЕ ВЫ НА АВИТО И БЕЗ РЕГИСТРАЦИИ СМОТРИТЕ ОБЪЯВЛЕНИЯ !!!
ВП
И СУТЬ ТО В ТОМ ЧТОБЫ НЕ ДАТЬ ВЫДЕРНУТЬ ИХ НАПРЯМУЮ ЧЕРЕЗ ПОСТМАН ИЛИ ЕЩЕ КАК
D
Никак
R
Да это понятно пользователь авторизовывается все норм ! Но говорю же что большая часть данных доступна и без какой либо авторизации ! ВОТ НАПРИМЕР ЗАХОДИТЕ ВЫ НА АВИТО И БЕЗ РЕГИСТРАЦИИ СМОТРИТЕ ОБЪЯВЛЕНИЯ !!!
не возможно