Можно ли ограничить доступ к API через Docker-compose?

Question

[skadyxd]

Заинтересовал вопрос, каким образом можно ограничить доступ к API не через frontend.

У меня на бекенде FastAPI есть несколько эндпоинтов GET и POST.
Фронтенд Next.js.

Хочется максимально ограничить доступ к API. Понимаю, что стопроцентной защиты быть не может и остаётся только придумывать костыли для злоумышленников.

Мне предлагали такой вариант:
Развернуть backend и frontend в одной сети и не открывать порты бека во внешнюю сеть, чтобы открыты были только порты фронтенда.

Вопрос, такой расклад событий может помочь ограничить доступ к эндпоинтам?

Comments

[Everything_is_bad]

nextjs запросы к беку откуда делает только из фронт-сервера или из браузера клиента тоже есть ?

[skadyxd]

Everything_is_bad, если я правильно вас понял, то есть и из браузера клиента.

Простой пример, есть форма ввода и кнопка. Пользователь вводит никнейм и по нажатию кнопки вызывает ендпоинт на сохранение своих данных в бд.

[Everything_is_bad]

skadyxd,

из браузера клиента.

тогда никак не закрыть, у nextjs еще серверный рендеринг, когда запросы из node.js идут к беку, тогда api можно было бы понять локально или в приватной сети

Answer 1

[Михаил Р.]

Развернуть backend и frontend в одной сети и не открывать порты бека во внешнюю сеть, чтобы открыты были только порты фронтенда.

Все что "загрузилось браузером" у клиента - доступно клиенту, а значить можно отправить запрос вне сайта на этот же api.

Вопрос, такой расклад событий может помочь ограничить доступ к эндпоинтам?

Нет. Необходим более сложный механизм защиты, по типу отслеживания количества запросов с определённых ip адресов.

Comments

[skadyxd]

спасибо за ответ