相关疑难解决方法(0)

我现在一直在努力研究如何在没有用户身份验证的情况下保护REST API.

这是什么意思 ？

在我的AngularJS应用程序中,我通过向现有服务(companydomain/userinfo)发送GET请求来识别用户,我必须使用该服务.我不确定这是如何工作的,因为我不是这段代码的作者,但关键是我在响应中获得有关用户的信息作为JSON(活动目录名称,公司中的电话......).

这是我必须识别用户的全部内容.

我做了什么

现在,我发现很多资源都在讨论OAuth,唯一令牌等等,但似乎没有什么能与我的问题相提并论.我实现了一个令牌系统,但由于我无法确定请求者的真实性,因此它毫无用处.

1. 用户打开应用程序.应用程序向服务询问有关用户的信息.companydomain /用户信息
2. 应用程序根据返回的信息向服务器请求令牌(nodejs&express)./ API /标记/获得/ {} USER_INFO
3. 服务器生成唯一令牌并将其存储在具有到期日期和所有者的内存中.如果用户存在(基于活动目录名称),服务器还会检查"授权用户"表,如果没有添加新条目.
4. 应用程序将每个请求的令牌发送到API./ API /项/删除/ {} entry_id

我认为你看到这里出了什么问题,攻击者可以轻易地向API发出损坏的请求以获得合法的令牌.所以我的问题是:

由于用户不使用凭据进行身份验证,我如何设法保护我的API？

我希望我的问题足够清楚,在这一点上,我甚至不确定如果不添加凭证系统我就能解决这个问题.