Odwiedzałem już ponad dzień. Być może brakuje mi prawidłowych słów kluczowych.Zabezpieczanie klucza API w Angular2
Mam następującą konfigurację:
- ExpressJS API (działa z PM2 na porcie 3000)
- Angular2 APP - służył poprzez nginx
Zarówno działać na tym samym serwerze.
apeluje do API (mydomain/api /) są przekierowywane do 127.0.0.1:3000
Dla wywołań API, które wymagają zezwolenia będę używać JWT i uwierzytelnianie użytkownika.
Co chcę osiągnąć to to, że generuję token dla mojej aplikacji angular2, która jest dozwolona/wymagana do wykonywania publicznych połączeń (na przykład list produktów).
Ten token należy oczywiście bezpiecznie przetransferować, ponieważ nie chcę, aby inni uzyskiwali moje produkty i ceny za pośrednictwem bezpośrednich połączeń api (za pomocą skradzionego tokena).
Każda pomoc doceniona.
Przepraszam, jestem trochę głupi w tej sekcji. Oczywiście skonfiguruję https. Ale nadal będę musiał umieścić mój publiczny token w parametrze Żądanie nagłówka/adresu URL z kanciastej aplikacji, aby był widoczny dla każdego. Czy może czegoś brakuje? – user1261284
zobacz wiki, ponieważ https to protokół warstwy aplikacji, który szyfruje również nagłówki. – eesdil
Tak, masz masztu token w każdym wywołaniu. Ale token jest generowany na serwerze ... Mam teraz podobny układ (express - kątowy 2). Przekażę tutaj swój przepływ pracy jako odpowiedź. –