我正在考虑使用JWT来保护公共API的.net Core WebAPI端点。 此 API 将仅由不需要用户进行身份验证的 React 前端使用。 我试图确保只有我的 React 应用程序可以调用我的 WebAPI 端点。
我的想法是在下载/初始化 React 应用程序时包含 JWT,并在调用 API 时使用它。
对此有何看法? 还有其他更有效的方法可以做到这一点吗?
My thought is to include the JWT when the React app is downloaded/initialized and use it when calling the API.
我想这种方式是行不通的,因为我可以轻松地从网络中复制 JWT 令牌/API 密钥或其他内容,并使用它来发送自己的请求。如果您的 API 设置良好(验证等(,"手动"发送请求应该不是问题。那么,为什么你只希望你的反应应用请求你的应用呢?
仅授予您的反应应用程序对 API 的访问权限的唯一方法是将您的 API 服务器/代理配置为仅接受来自同一域的请求。