我已经部署了一个Django API,它使用Django Rest Framework提供了一些开放的端点和一些使用Token身份验证的Authenticated端点。
保护只允许从应用程序前端团队发送请求的API入口的最佳方法是什么?我想使用Nginx基本身份验证,但Authorization标头重复,因此Token身份验证无法工作。
如果前端团队使用静态地址(例如ALLOWED HOSTS(,则可以通过过滤IP地址来过滤API中的访问。
此外,您可以将前端团队的用户添加到特定的组中,或者提供相同的角色,并通过实现可重用的自定义DRF权限来过滤访问。
另一个选项可以是使用自定义HTTP头或API密钥(例如X-API-key头(。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium