Представим, что вы создали приложение React и REST API (они находятся в разных источниках / доменах), поэтому клиенту необходимо проконсультироваться с API, чтобы заполнить данные и все остальное. Что мне интересно:
Может ли кто-нибудь go в исходном коде увидеть конечную точку и сделать запрос на выборку из консоли браузера и получить данные? Если да, то как это предотвратить (если возможно)? Можно ли это скрыть?
Решает ли эту проблему JWT или Oauth 2.0? Например, если вы используете JWT для аутентификации пользователя и сохранения в локальном хранилище и используете его для аутентификации запроса, например, может ли кто-нибудь это украсть? (Я не очень знаком с методами XSRF, но знаю, что это такое)
Этот вопрос возник, потому что я видел множество веб-сайтов, использующих огромные API (например, Google Maps ) только от клиента, и они указывают идентификатор клиента или другой ключ в исходном коде, поэтому любой может получить к нему доступ. На мой взгляд, я могу использовать этот ключ в запросе на выборку из консоли и получать то, что хочу, используя эти учетные данные (и в этом случае владелец веб-сайта платит за запрос). Я никогда не пробовал, потому что это неправильно, так как я не плачу за это.
Я знаю, что вы можете проверить, поступил ли запрос из определенного c источника, и добавить те, которые вы хотите авторизовать в белый список (или что-то в этом роде), моя проблема заключается в c, когда кто-то заходит на ваш сайт и пытается получить данные с консоли.