Sono stato su Google più di un giorno ora. Forse mi mancano le parole chiave corrette.Protezione chiave API in Angular2
Ho la seguente configurazione:
- ExpressJS API (in esecuzione con PM2 sulla porta 3000)
- Angular2 app - servito via nginx
Sia corsa sullo stesso server.
chiamate all'API (mydomain/api /) sono inoltrate a 127.0.0.1:3000
Per le chiamate API che richiedono l'autorizzazione userò JWT e autenticazione utente.
Ciò che voglio ottenere è generare un token per la mia app angular2 che è consentita/richiesta per effettuare chiamate pubbliche (elenchi di prodotti, ad esempio).
Questo token deve essere trasferito in modo sicuro, naturalmente, poiché non voglio che altri ottengano i miei prodotti e i prezzi tramite chiamate api dirette (con un token rubato).
Qualsiasi aiuto apprezzato.
Scusa, sono un po 'stupido in questa sezione. Naturalmente installerò https. Ma dovrò comunque includere il mio token pubblico in un Request Header/url param dall'app angular, quindi è visibile a chiunque. O mi sta sfuggendo qualcosa? – user1261284
vedere il wiki, poiché https è il protocollo del livello applicazione che sta crittografando anche le intestazioni. – eesdil
Sì, il token include l'albero in ogni chiamata. Ma quel token è generato sul server ... Ho un setup simile in questo momento (express - angular 2) invierò il mio workflow come risposta qui. –