Это более концептуальный вопрос. Когда мы используем SPA, например Angular, мы использовали неявный поток для аутентификации. В этом потоке мы сохраняем токен либо в localStorage, либо в sessionStorage.
Когда нам нужно вызвать какой-либо API, мы передавали этот токен доступа этому API, чтобы получить данные или отправить данные POST.
У меня есть вопрос. Что если какой-либо злонамеренный пользователь нашел этот токен, то он может сделать тысячи вызовов POST API с некоторыми мусорными данными, используя postman или любой другой клиент.
Как нам избежать такой ситуации?
Заранее спасибо!!!!
Я знаю, что несколько вещей, таких как REST API, могут реализовать CORS для решения этой проблемы. Когда кто-то вызывает API, мы можем проверить заголовок ORIGIN.
Но я читал, что заголовок ORIGIN также небезопасен. Злоумышленник может легко установить его через код, и он может вызывать API программно. Так что же делать с такими условиями?
Пожалуйста, смотрите это изображение ниже для более подробной информации -