Apigee를 내 데이터베이스에서 기본 CRUD 작업을 허용하는 개인 REST API의 프록시로 사용하고 있습니다. 프런트 엔드 개발자는 JavaScript/Ajax에서 직접 API를 호출하기를 원하므로 누구나 JS 소스를보고 내 API에서 잠재적으로 파괴적인 메서드를 호출 할 수 있으므로 기본 API 키 인증을 사용할 수 없습니다. 브라우저의 정책을 사용하지만 누군가가 말리거나 브라우저 외부에서 내 API를 호출하는 것을 막지는 못합니다.JavaScript/Ajax 클라이언트 [apigee]에서 사용되는 API를 보호하려면 어떻게해야합니까?
최상의 접근 방법은 무엇입니까? UI 개발자가 OAUTH를 사용하여 사용자가 인증되고 Ajax 호출에서이를 사용하면 세션마다 액세스 토큰을 얻을 수 있습니까? 그런데도 그 사용자는 JS 소스를보고 컬을 통해 더러운 것을 할 수 없었습니까?
미리 감사드립니다.
브라우저에서 수행 할 수있는 모든 작업을 사용자가 수행 할 수도 있습니다. – SLaks