Sicherung API für eine Frontend-Website

Question

Unsere APIs (von Drittanbietern) verwenden Token, um nur autorisierten Zugriff zu gewährleisten. Unsere neue Website sollte nicht Server-zu-Server, sondern hauptsächlich Front-End sein, d. H. Das Token wäre im Skript sichtbar. Wir überprüfen nun, wie die API für eine Frontend-Website gesichert werden kann und ich muss meinem Chef Wege vorschlagen. Ich musste jedoch nie etwas mit der API-Sicherung machen. Könnten Sie mir bitte helfen, indem Sie mir sagen, wo ich die neuesten Lösungen finde?

Ich habe bereits begonnen, in OAuth1a, OAuth2, OpenID zu sehen, kann aber (noch) nicht wirklich eine Richtung zur weiteren Untersuchung bekommen.

Answer 1

Sie sollten immer noch ein Token verwenden, aber Sie müssen sicherstellen, dass das Token Ihnen keinen vollständigen Zugriff auf die API gewährt.

Tokens müssen für den Benutzer spezifisch sein, der die Anwendung verwendet, und das Token kann nur API-Zugriff auf die spezifischen Funktionen gewähren, die der Benutzer ausführen darf.

Für jetzt würde ich ignorieren OAuth1 und OpenID und nur Blick auf OAuth2. Es gibt genug Funktionen dort, um zu tun, was Sie wollen, und es ist einfacher als der Rest.