all,
我在这里需要一点指导。我有一个Polymer前端,可以处理Google oAuth以允许用户使用应用程序。前端从 oAuth 捕获用户的电子邮件地址,并将其用于对我在后端构建的 Flask API 的 GET 请求。我没有在我的 Flask API 中构建身份验证,因为我认为我不需要这样做,因为我有 Polymer 作为看门人。我意识到人们可以看到源代码,并重试了 API URL,如果他们想捕获其他用户的数据,可以使用。
我正在寻找有关如何锁定 API 后端的指导,因为我只在前端使用 Google oAuth。
谢谢
马科斯
我不确定这是否是正确的答案,但我还是会发布我的结果。如果错误,请发送反馈。我将让我的前端在每次 API 调用时从标头中的身份验证进程发送用户的访问令牌。我的后端 API 将获取该访问令牌并使用它来查询 Google API,以查找创建令牌的电子邮件地址。如果电子邮件与 API 调用请求数据的电子邮件匹配,则将返回数据。否则,它将返回错误。