題
我有一個關于安全的問題。我正在 Flutter 中建立一個移動網上商店。在前端進行這些 API 呼叫是不是很糟糕?例如,我應該在Node中為它創建一個單獨的后端嗎?
我還讀到您可以使用PHP在 WordPress 中“創建”自己的端點。那個怎么樣?這是否使它更安全?
我使用哪些端點?
現有的WooCommerce API可用于檢索產品、獲取類別、在 WooCommerce API 上創建訂單。在CoCart API上,您可以檢索購物車、添加到購物車、洗掉購物車等...
對于Mollie 支付 API,我認為最好做一個后端。
我的看法
我認為在前端呼叫這些端點很好。我已經看到了用于 WooCommerce 的 Flutter 包來呼叫這些端點。是的,我確實在標題中發送了基本身份驗證......所以我不確定這有多“危險”。
但另一方面。“黑客”能做什么?他們可以看到所有的產品,我想這很好。我不確定他們是否可以創建訂單......他們至少不能偷錢:)
參考代碼
作為參考,下面是呼叫端點時的一段代碼:
Future<Product> getProductById(int productId) async {
String basicAuth =
'Basic ' base64Encode(utf8.encode('$username:$password'));
print(basicAuth);
var response = await http.get(
Uri.parse(
'https://websitename/wp-json/wc/v3/products/${productId}'),
headers: <String, String>{'Authorization': basicAuth});
if (response.statusCode == 200) {
return Product.fromJson(jsonDecode(response.body));
} else {
throw Exception('Failed');
}
}
讓我知道你的意見!
uj5u.com熱心網友回復:
在談論安全性時,主要問題是網路請求上的內容。如果您上面代碼中的用戶名和密碼是保密的,那不能在客戶端。
如果您將代碼發送給用戶,用戶就會得到它并且可以在跟蹤網路請求時檢查發生了什么。
您始終可以跳過 UI、除錯網路請求并獲取通過該請求發送的所有詳細資訊,然后使用 cURL 或其他任何方式發送這些請求。然而,客戶端必須以某種方式進行身份驗證,這是“未列出”URL 的一個廣泛主題,您只需要具有確切的“隨機 id”即可訪問資源(例如 youtube 或許多檔案共享服務將其用作“未列出”鏈接,這意味著這不會出現在搜索結果中,但如果您有確切的鏈接,您將進入資源)到 oAuth2,您可以在此處了解更多資訊,您也可以查看這篇文章,其中涵蓋了幾種基于令牌的身份驗證方法。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/445033.html
標籤:javascript php 扑 安全 woocommerce
上一篇:3rd方庫的Webpack問題