Как сделать авторизацию клиента в API и не облажаться?

Question

[Vasek1209]

Есть бекенд на Ruby On Rails, который раздаёт данные через API. И есть клиент сайт-SPA на React JS.

Как сделать так, чтобы бекенд отдавал данные только этому вот нужному сайту-клиенту, а не кому попало? Как удостовериться, что пришел запрос из разрешенного места, именно из клиента, а не от наглеца, который решил распарсить мой сайт? Как называется вот это вот, как гуглить?

Простите за тупой вопрос.

Answer 1

[Inviz Custos]

Как сделать так, чтобы бекенд отдавал данные только этому вот нужному сайту-клиенту, а не кому попало? Как удостовериться, что пришел запрос из разрешенного места, именно из клиента, а не от наглеца, который решил распарсить мой сайт? Как называется вот это вот, как гуглить?

Никак. Парсер "наглеца" просто будет выдавать себя за Ваш сайт-SPA, передавая все те же самые заголовки, что и сайт.

Comments

[Vasek1209]

Вот дерьмо(

Answer 2

[от это да]

на php доступ для всех открывается так:
header('Access-Control-Allow-Origin: *');
и если этой строки нет то доступ только для своего сайта

наверняка на рельсах есть подобное

Comments

[от это да]

header('Access-Control-Allow-Origin: *');

эта строка в php-файле
если ее нет то никто не может запустить этот php-файл кроме html-приложения загруженного с этого сайта

разве не так?

Answer 3

[Максим Ткачев]

в заголовок добавьте secretcode, и принимайте запросы только при наличии этого условия

Answer 4

[Василий Банников]

Использовать капчу. Хотя тоже не даёт никаких гарантий

Answer 5

[Артем]

Шифруй тело запроса во фронте, на бэке дешифратор. И наоборот - шифруй ответ бэка и на фронте дешифратор.