Как сделать так чтобы доступ к backend api был запрещен?

Question

[jedifa]

Подскажите пожалуйста, у меня есть сайт у которого бэкенд на node js, когда я отправляю запрос с фронта при помощи axios во вкладке сети виден этот запрос, а также виден и адрес api, так вот возможно ли сделать так чтобы ненужный человек не мог отправлять запросы на бэк?

Comments

[Strannyk]

А вы уверены, что это кому-нибудь нужно?

[jedifa]

Strannyk, Разные ведь люди бывают)

[Strannyk]

jedifa, почитайте анекдот про неуловимого Джо. Такие проблемы по мере поступления решаются.

[Сергей delphinpro]

А что вы там защищать собрались? Есть какие-то ценные данные, которые могут быть интересны другим, или просто паранойя?

[jedifa]

Сергей delphinpro, А вообще не могли бы вы подсказать, как к примеру Инстаграм или другие скрывают все запросы во вкладке сети гугла?

[Сергей delphinpro]

jedifa, Не знаю как там у инсты. Вероятно они используют веб-сокет соединение, а не простые http запросы.

[Василий Банников]

jedifa, а они не скрывают.
Всё можно в нетворке увидеть, или через отдельный дебаггер

[jedifa]

Сергей delphinpro, Благодарю, другие сайты тоже используют веб-сокет? К примеру этот же самый Хабр ну или вообще другие в целом

[Василий Банников]

jedifa,
1. Почти никто не использует вебсокет для всех передаваемых данных
2. Вебсокет абсолютно также можно прочитать

[jedifa]

Василий Банников, Благодарю!

Answer 1

[deepblack]

Конечно можно, нужно отключить бэкенд. Тогда и доступа не будет

Answer 2

[Василий Банников]

Нет. Невозможно.
Можно только обмазать всё CORS, чтобы с других сайтов нельзя было вызывать, и намеренно запутать API, чтобы другим людям было не понятно, что надо запрашивать и с какими параметрами.
Ну и добавить авторизацию, чтобы только авторизованные пользователи могли слать запросы.

Comments

[jedifa]

Василий Банников Можете рассказать подробнее что за авторизация, и как примерно можно реализовать?

[WbICHA]

jedifa, бан в гугле передаётся по наследству?

[jedifa]

Василий Банников И также буду благодарен если расскажете про запутывание api

[jedifa]

WbICHA, Не нашел в гугле про авторизацию и про запутывание, если у вас есть какой то ресурс с информацией то был бы благодарен если дадите ссылку)

[Strannyk]

jedifa,

Не нашел в гугле про авторизацию

Да ладно...

[Сергей delphinpro]

Можно только обмазать всё CORS, чтобы с других сайтов нельзя было вызывать,

ну буду дергать курлом через простейшую прокси-прослойку.

[Сергей delphinpro]

намеренно запутать API, чтобы другим людям было не понятно, что надо запрашивать и с какими параметрами.

Это как? Я все запросы посмотрю в инспекторе браузера.

[Василий Банников]

jedifa, Ну просто делаешь всё нечитабельным, чтобы не понятно было за что запрос отвечает.

[WbICHA]

Не нашел в гугле про авторизацию

Strannyk, извини, но программирование явно не твоё.

[Strannyk]

WbICHA,

[WbICHA]

Strannyk, ох, прости, Странник, попал под горячую мышку.)

[jedifa]

WbICHA, Чего же ж ты тогда сам не скинул? Тогда программирование также не твое

[WbICHA]

jedifa, а, ты в возрасте "кто обзывается, тот сам так называется", тогда всё понятно.

[jedifa]

WbICHA, Чья бы корова мычала, а твоя бы помолчала

[Василий Банников]

jedifa, давайте не будем отвечать токсичностью на токсичность

[jedifa]

Василий Банников, Конечно

Answer 3

[Ranwise]

попробуйте graphql, он запутаней))
для доступа к апи выдают токен при авторизации по логину\паролю + CORS + rate limit

не понятна задача прятанья апишки...