Это более концептуальный вопрос -
Когда мы используем SPA как Angular, мы использовали неявный поток для аутентификации. В этом потоке мы сохраняем токен либо в localStorage, либо в sessionStorage.
Когда нам нужно было вызывать любой API, мы использовали для передачи этого маркера доступа этому API для получения данных или для POST-данных.
У меня есть вопрос здесь -
Что если какой-либо злонамеренный пользователь обнаружит этот токен, он может сделать тысячи вызовов API POST с некоторыми мусорными данными, используя почтальон или любой другой клиент.
Как мы можем избежать такой ситуации?
Заранее спасибо !!!!
Я знаю, что такие вещи, как REST API, могут иметь CORS для решения этой проблемы.
Когда кто-то вызывает API, мы можем проверить заголовок ORIGIN.
Но я читал, что заголовок ORIGIN также небезопасен. Вредоносный пользователь может легко установить его с помощью кода и программно вызывать API. Так как бороться с такими условиями?
Пожалуйста, смотрите это изображение ниже для более подробной информации -
Подробное описание постановки задачи