我有一个用Python(Flask)编写的API数据库。我想构建一个向 API 发出请求并显示数据的前端。但我想控制对API的访问。
我无法实现授权,因为我的 Web 应用程序是公共客户端类型(根据 Oauth RFC)——因此无法安全地存储凭据来对应用程序进行身份验证。而且我不需要用户身份验证(网络应用程序是一个带有交互式过滤器和购物车的简单目录)。
所以我需要以某种方式保护 JS 代码(丑化/混淆是不够的,因为我有带有 URI 的 ajax 请求)或以某种方式重建整个 Web 应用程序以隐藏 ajax 请求并保护 API。
有谁有任何想法和提示如何在没有用户身份验证的情况下保护 API + 前端 Web 应用程序的安全?
这应该是微不足道的,因为有很多产品目录以交互方式工作,例如特易购及其过滤机制。但我不明白怎么办。
你能给个提示吗?
我有一个Web服务器,它创建一个QR码,它是[用户名] + [用户名] [密码]的md5哈希值.其中[username]是当时登录的用户.其中[密码]是我设置的系统密码,对于Web服务器和应用程序是通用的.
我的Android/iPhone/BlackBerry/Windows应用程序将扫描此QR码并使用QR码中提供的[用户名]与[密码]进行哈希,这将告诉我QR码来自我的服务器.
显然,如果有人要抓住[密码],那么他们可以创建不是来自我的网络服务器的QR码.那么无论如何要安全地存储[密码]在我的应用程序中,或者有人反编译.apk并在classes.dex中找到它?