※ 引述《sean72 (.)》之銘言:
: ※ 引述《sean72 (.)》之銘言:
: : 假設我架設了一個大聯盟球員數據查詢網站
: : 努力整理分析數據,又花錢租了server
: : 架構用rest api
: : 前端送api到server,後端傳json回去
: : 如果某個路人看到我的網站整理的很棒
: : 他也想做一個
: : 那他豈不是只要自己寫個前端
: : 然後使用和我一樣的api,我的server一樣會回應我所整理好漂亮整齊的json
: : 這個路人豈不是做起了無本生意嗎?
: : 請問這個問題有解嗎?
: 謝謝大家推文的回答
: 我了解"真的要爬擋也擋不住"這點 (我自己也是爬資料回來整理)
: 我在乎的是
: 不管是token, 時間hash 等等
: 對方只要模擬一下我的前端
: 我的server也同樣的會回應token給他
: 別人可以用同樣的api取得我的資料
別人模擬你的前端去呼叫你的api時,應該會受到同源政策(Same-origin policy)的限制吧
另外你也可以使用防範CSRF的方式,譬如進到你的網頁時,你Server回應的html中會有供
api認證用的Token,然後有個button click後會使用這個Token去呼叫你的api取得資料,
順便取得下次認證用的Token,這樣別人網頁呼叫你的api時,因缺少必要的Token而認證失
敗
當然以上是小弟的一些淺見,可能也會有錯誤的地方,還勞煩各位高手指正
: 而且不費工夫馬上套用到他的網頁中
: 他的前端不可能一邊爬 + 一邊parse + 一邊秀內容給user才對吧?
: 這樣每個end user都得是超級電腦才行
: 就如同google place好了
: (撇除throttle這因素)
: 我也架了一個網頁叫做sean72place.com
: 你到我的搜索框搜索
: 我的前端直接把字串餵估狗,google retun json
: 我把結果直接顯示在sean72place.com
: 我也不是要做大生意,所以沒有大流量
: 但是我也成功地"架設"並且營運一個網頁了 這樣豈不是怪哉?
: 難道所有用restful架構的業者都這麼佛心嗎?