Как закрыть rest api?

Question

[Михаил Иванов]

Добрый день!
Подскажите как скрыть публичный api, от общего доступа, что бы к нему имел доступ только мой сайт( приложение на express.js ). Возможно как то подписать его надо, или использовать сторонние сервисы?

Comments

[Ilya]

Токены?

[Михаил Иванов]

Да, я думал про это.
Получается логика такая, кто то заходит на сайт и сервер ему выдается токен (jwt), при любом обращение к api проверяет этот токен, берет его из header, но потом пользователь хочет хочет войти, и логинется, и у меня настроена возможность выдавать ему новый токен, и также проверять его (что ему доступно), и получает еще один токен, так вот вопрос, это должны быть два разных токена и обрабатываться по разному?
node-oauth2-server - вот это мне может помочь?

[Ilya]

думаю средствами oauth можно решить

[Михаил Иванов]

Может быть у вас есть рабочий пример? Или в двух словах описать логику работы этого сервиса.

[Сергей Горностаев]

Получается API не публичный. На чём он написан?

[Михаил Иванов]

Сергей Горностаев, Сейчас у меня api публичный, написан на express, хочу закрыть его от всех, кроме моего приложения. Написано на Node.js (express.js)

[Сергей Горностаев]

Михаил Иванов, напишите middleware для API, который будет проверять IP-адрес, с которого пришёл запрос, и отвергать запросы не с ваших серверов.

[Михаил Иванов]

Сергей Горностаев, Спасибо! Так и сделаю.
Т.е смысла нет заморачиваться с токенами и т.д?

[Сергей Горностаев]

Михаил Иванов, если нужно просто контроль адреса, с которого приходят запросы, то токены - это слишком.

Answer 1

[Дмитрий Макаров]

token || secret_key || OAuth2

Answer 2

[Aleksei Podgaev]

делаешь так, что все запросы api должен принимать только при наличии определённого token-а в заголовке. если token отсутствует или неверен отправляешь назад ответ со статусом 401.
этот token клиент и сервер могут получать, например, через переменные окружения (чтобы не светить их в коде)