jus*_*tin 6 javascript http cross-domain node.js
我正在使用nodejs来编写图像上传服务.支付客户端将能够将图像文件发送到我在我的服务器上设置的端点.但是,当每个请求进入时,我需要确认它实际上是一个付费客户提出请求.我想让客户端给我他们的域名,我只会检查referer标题.但是,有人可以轻松欺骗引用标题并使用我的服务而无需付费.SaaS开发人员如何面对这一技术问题?是否可以解决这个问题而不需要我的客户端有一些服务器端代码?
您无法使用引用标头对浏览器进行身份验证。
如果您想对个人进行身份验证,那么您可能需要一个登录系统,他们向其提供凭据(用户名/密码),然后您根据允许的用户群检查这些凭据。如果他们通过了,那么您可以在浏览器中设置某种类型的 cookie,表明他们是合法用户。该用户的后续请求将包含该 cookie,您可以在每个请求中检查该 cookie。
Cookie 必须是您创建的、可以验证且不易被猜测或伪造的内容(例如会话或来自服务器的加密令牌)。您通常会在一段时间后设置 cookie 的过期时间,以便用户必须再次登录。