不知道在哪個版問..
我是剛畢業的新鮮人，原本做前端，但公司日後要開發一個簡易小系統，叫我之後可以學
一下怎麼設計api。
我是用express做的。有個問題是遇到跨域的狀況時，有查到說要寫上
Access-Control-Allow-Headers ：*
所以我好奇為何postman測試的時候都不會有跨域問題，有查到說跨域問題是瀏覽器同源
策略的安全限制，postman只是類似代理所以不存在這個問題。
那這樣別人拿到我的api在本機用postman亂改不就會直接改到我的資料嗎？
不知道有沒有解釋清楚，請問各位是如何設計自己api的安全機制呢？謝謝

你在瀏覽器中就會被擋，還有你api要有驗證機制你在瀏覽器中就會被擋，還有你api要有驗證機制這樣user要亂改只能改自己的資料

要保護好自己的API

男森真的要好好保護自己

後端API最重要的觀念就是不要相信前端阿XD

你想問的應該是怎麼限制非授權使用者存取api，web可以考慮session jwt這些方案

API的AA 跟 Browser的CORS 是兩件不同的事情

api本身要有驗證機制 cors只能防君子 不能防小人

後端如果都相信前端就會變成之前統聯客運事件

謝謝各位的解答！

對方要有設定資訊來跟你要token，然後才能用token換資料可以參考google跟fb怎麼做的

Keyword auth