Безопасное/безопасное отправку информации о конфигурации в интерфейс

Question

Мне немного любопытно, как отправить информацию о конфигурации в интерфейсный модуль - у нас есть веб-сервер, обслуживающий страницы и сервер API, обслуживающий JSON API - в настоящее время URL-адреса для сервера API - это только служба с угловым выражением, в основном жестко закодированная в интерфейсном JS-файле. Что-то немного более «безопасное» - это отправить конфигурацию как какой-то объект с каждым запросом. Но у меня такое чувство, что большинство людей скажут, что это просто обфускация и не совсем безопасная. Каков наилучший способ сделать это? Может быть, нет способа предотвратить переадресацию запросов на другой сервер, кроме нашего?

Одним из способов решения этой проблемы было бы направлять весь трафик обратно на веб-сервер, который, в свою очередь, запрашивает API, но я не уверен, что это отличное решение.

Answer 1

Я бы начал с внедрения HTTPS, если вы хотите безопасности. Помимо этого, если у вас нет аутентификации или авторизации для подключения пользователей к запросам, это, вероятно, будет хорошим местом для продолжения работы после HTTPS.

HTTPS обрабатывает проблему, о которой вы упомянули в отношении перенаправления (хотя пользователи все равно могут игнорировать большое предупреждение, которое должен предоставить их браузер). В общем, при правильном внедрении он должен предотвращать наиболее распространенные атаки MITM. Для аутентификации запросы должны быть каким-то образом связаны с пользователем (session_id), который сервер API может проверить для аутентификации. Для авторизации сервер API должен иметь возможность определить, разрешен ли аутентифицированный пользователь для выполнения любого заданного запроса.

Это действительно зависит от ваших требований. Доступна ли информация через API? Должны ли пользователи иметь доступ? Является единственной проблемой перехвата/модификации ответа (Man-In-The-Middle MITM)?