付費限定

[19] JWT --part4: interceptor & api authentication

張哲嘉-avatar-img
張哲嘉
發佈於Vue+Django+MongoDB+Nginx 從網頁全端開發到架站一次教給你
更新於 發佈於 閱讀時間約 1 分鐘

前言

只要把後端對外,或者網站對外,就一定會被攻擊,有自己用自己的電腦當 server 架站過就一定知道,只要一對外,每天都會收到一些隨機的攻擊,最常見就是別人在亂試 api 看能不能猜對,通常是猜不到啦,鬼知道你的 api 長什麼樣子,更別提要帶什麼參數,能猜對真的是會通靈。

儘管如此,你可能還是不知道在哪洩露了你的 api,有可能不小心推到 github 公開,或者被勒索檔案之類的。所以我們還是要幫 api 上一道鎖比較安全。

作法就是前台這邊發 request 一定要加入 access token 作為驗證依據,後台這邊一定要要求 request 中的 access token 合法才能使用 api。那以下就開始實做吧!

以行動支持創作者!付費即可解鎖
本篇內容共 1183 字、0 則留言,僅發佈於Vue+Django+MongoDB+Nginx 從網頁全端開發到架站一次教給你你目前無法檢視以下內容,可能因為尚未登入,或沒有該房間的查看權限。
張哲嘉的沙龍Vue+Django+MongoDB+Nginx 從網頁全端開發到架站一次教給你
留言
avatar-img
留言分享你的想法!
avatar-img
張哲嘉的沙龍
9會員
49內容數
比起詳細教學單一技能,網路上或者市面上整合多項技能的教學相對少很多,但要真的完成一項專案往往不是只靠一項技能便能做到。 而且教科書式的完整教學也比較枯燥乏味,因此我想以自身的經驗為例,以全端開發各項技能中最常用到的部分進行講解,讓讀者能夠快速上手掌握全端技能。
張哲嘉的沙龍的其他內容
2022/10/10
[30] TLS/SSL for MongoDB
Obtain certificate 我們用之前提到的 Let’s Encript 來獲得憑證 在 nginx/sites-available 再增加一個網站設定,然後再做個連結到 nginx/sites-enabled,設定的內容就隨便寫個 server_name 和 listen 就好了 然後
Thumbnail
2022/10/10
[30] TLS/SSL for MongoDB
Obtain certificate 我們用之前提到的 Let’s Encript 來獲得憑證 在 nginx/sites-available 再增加一個網站設定,然後再做個連結到 nginx/sites-enabled,設定的內容就隨便寫個 server_name 和 listen 就好了 然後
Thumbnail
2022/10/10
[29] 讓網站更安全,不准直接連我的網站 IP
Block direct access by ip 一旦將網站對外,就要開始面對這個險惡的世界每天遭受一堆攻擊,雖然大部分都無關痛癢,幾乎都是機器人在 scan ip 然後在發一些無意義的請求,或者亂試 api,看能不能試出來...,最好是哪麼好試啦,而且加上我們之前在 JWT 篇章講到的 prot
Thumbnail
2022/10/10
[29] 讓網站更安全,不准直接連我的網站 IP
Block direct access by ip 一旦將網站對外,就要開始面對這個險惡的世界每天遭受一堆攻擊,雖然大部分都無關痛癢,幾乎都是機器人在 scan ip 然後在發一些無意義的請求,或者亂試 api,看能不能試出來...,最好是哪麼好試啦,而且加上我們之前在 JWT 篇章講到的 prot
Thumbnail
2022/10/10
[28] 用 Nginx 部署 production back-end server
保護後端重要資訊 在 django 專案中我們會把設定都寫在 settings.py 內,包含了 SECRET_KEY 等機密資訊,通常專案都會做版本控制上 git,但把這些機密資訊也上 git 是很不好的一件事,畢竟 github 也是曾經被駭過的,所以最好是把這些不想讓別人知道的資訊寫在另外一個
Thumbnail
2022/10/10
[28] 用 Nginx 部署 production back-end server
保護後端重要資訊 在 django 專案中我們會把設定都寫在 settings.py 內,包含了 SECRET_KEY 等機密資訊,通常專案都會做版本控制上 git,但把這些機密資訊也上 git 是很不好的一件事,畢竟 github 也是曾經被駭過的,所以最好是把這些不想讓別人知道的資訊寫在另外一個
Thumbnail
看更多
你可能也想看
Thumbnail
avatar-avatar
阿千看世界
2025年綜合所得稅繳稅教學:線上申報、信用卡回饋、拆單攻略!
每年4月、5月都是最多稅要繳的月份,當然大部份的人都是有機會繳到「綜合所得稅」,只是相當相當多人還不知道,原來繳給政府的稅!可以透過一些有活動的銀行信用卡或電子支付來繳,從繳費中賺一點點小確幸!就是賺個1%~2%大家也是很開心的,因為你們把沒回饋變成有回饋,就是用卡的最高境界 所得稅線上申報
#2025所得稅#綜合所得稅#繳稅有回饋
Thumbnail
avatar-avatar
阿千看世界
2025年綜合所得稅繳稅教學:線上申報、信用卡回饋、拆單攻略!
每年4月、5月都是最多稅要繳的月份,當然大部份的人都是有機會繳到「綜合所得稅」,只是相當相當多人還不知道,原來繳給政府的稅!可以透過一些有活動的銀行信用卡或電子支付來繳,從繳費中賺一點點小確幸!就是賺個1%~2%大家也是很開心的,因為你們把沒回饋變成有回饋,就是用卡的最高境界 所得稅線上申報
#2025所得稅#綜合所得稅#繳稅有回饋
Thumbnail
avatar-avatar
科技巨頭解碼
NVDA 25Q1 財報 - 扣除中國因素,輝達的前方仍然沒有烏雲 | #276
全球科技產業的焦點,AKA 全村的希望 NVIDIA,於五月底正式發布了他們在今年 2025 第一季的財報 (輝達內部財務年度為 2026 Q1,實際日曆期間為今年二到四月),交出了打敗了市場預期的成績單。然而,在銷售持續高速成長的同時,川普政府加大對於中國的晶片管制......
#NVDA#NVIDIA#輝達
Thumbnail
avatar-avatar
科技巨頭解碼
NVDA 25Q1 財報 - 扣除中國因素,輝達的前方仍然沒有烏雲 | #276
全球科技產業的焦點,AKA 全村的希望 NVIDIA,於五月底正式發布了他們在今年 2025 第一季的財報 (輝達內部財務年度為 2026 Q1,實際日曆期間為今年二到四月),交出了打敗了市場預期的成績單。然而,在銷售持續高速成長的同時,川普政府加大對於中國的晶片管制......
#NVDA#NVIDIA#輝達
Thumbnail
avatar-avatar
Amber hh的沙龍
學習筆記 | 關於 Cookie、Session、Token
延續先前的筆記,「網路請求」是瀏覽器和伺服器的溝通橋梁,目的是為了取得資料庫內的資源,除了 CORS 這種瀏覽器本身的阻擋機制,伺服器也會需要進行「身分驗證或授權」這道阻擋,並不是使用者有帶上 header 告知身分,就一定可以把資料 response 回來的。
#伺服器#瀏覽器#身份驗證
Thumbnail
avatar-avatar
Amber hh的沙龍
學習筆記 | 關於 Cookie、Session、Token
延續先前的筆記,「網路請求」是瀏覽器和伺服器的溝通橋梁,目的是為了取得資料庫內的資源,除了 CORS 這種瀏覽器本身的阻擋機制,伺服器也會需要進行「身分驗證或授權」這道阻擋,並不是使用者有帶上 header 告知身分,就一定可以把資料 response 回來的。
#伺服器#瀏覽器#身份驗證
Thumbnail
avatar-avatar
張哲嘉的沙龍
[29] 讓網站更安全,不准直接連我的網站 IP
Block direct access by ip 一旦將網站對外,就要開始面對這個險惡的世界每天遭受一堆攻擊,雖然大部分都無關痛癢,幾乎都是機器人在 scan ip 然後在發一些無意義的請求,或者亂試 api,看能不能試出來...,最好是哪麼好試啦,而且加上我們之前在 JWT 篇章講到的 prot
#網站
Thumbnail
avatar-avatar
張哲嘉的沙龍
[29] 讓網站更安全,不准直接連我的網站 IP
Block direct access by ip 一旦將網站對外,就要開始面對這個險惡的世界每天遭受一堆攻擊,雖然大部分都無關痛癢,幾乎都是機器人在 scan ip 然後在發一些無意義的請求,或者亂試 api,看能不能試出來...,最好是哪麼好試啦,而且加上我們之前在 JWT 篇章講到的 prot
#網站
Thumbnail
avatar-avatar
一代軍師
玩轉C#之【爬蟲】
介紹 基礎概念 爬蟲其實就是一個自動提取網頁的程式 程式基本運作:Url開始-->分析獲取數據&找到Url-->遞迴下去-->結束 分析獲取數據運作:下載html--解析獲取數據--數據保存 爬蟲可以做哪些事情? 數據為王:抓小說數據,做個內容站; 電影/動漫下載站 抓圖片 政府的公開招標數據,每天
#IT鐵人賽#爬蟲#Chsarp
Thumbnail
avatar-avatar
一代軍師
玩轉C#之【爬蟲】
介紹 基礎概念 爬蟲其實就是一個自動提取網頁的程式 程式基本運作:Url開始-->分析獲取數據&找到Url-->遞迴下去-->結束 分析獲取數據運作:下載html--解析獲取數據--數據保存 爬蟲可以做哪些事情? 數據為王:抓小說數據,做個內容站; 電影/動漫下載站 抓圖片 政府的公開招標數據,每天
#IT鐵人賽#爬蟲#Chsarp
Thumbnail
avatar-avatar
張哲嘉的沙龍
[19] JWT --part4: interceptor & api authentication
前言 只要把後端對外,或者網站對外,就一定會被攻擊,有自己用自己的電腦當 server 架站過就一定知道,只要一對外,每天都會收到一些隨機的攻擊,最常見就是別人在亂試 api 看能不能猜對,通常是猜不到啦,鬼知道你的 api 長什麼樣子,更別提要帶什麼參數,能猜對真的是會通靈。 儘管如此,你可能還是
#網頁開發
Thumbnail
avatar-avatar
張哲嘉的沙龍
[19] JWT --part4: interceptor & api authentication
前言 只要把後端對外,或者網站對外,就一定會被攻擊,有自己用自己的電腦當 server 架站過就一定知道,只要一對外,每天都會收到一些隨機的攻擊,最常見就是別人在亂試 api 看能不能猜對,通常是猜不到啦,鬼知道你的 api 長什麼樣子,更別提要帶什麼參數,能猜對真的是會通靈。 儘管如此,你可能還是
#網頁開發
Thumbnail
avatar-avatar
張哲嘉的沙龍
Json web token authentication with django & vue — part 3: interceptor & api authentication
Thumbnail
avatar-avatar
張哲嘉的沙龍
Json web token authentication with django & vue — part 3: interceptor & api authentication
Thumbnail
avatar-avatar
張維元的沙龍
爬蟲又被擋了怎麼辦?常見的反爬蟲處理策略
資料爬蟲是資料分析的起手式,必須有好的、可用的資料才得以進行高品質的資料科學專案,爬蟲也是資料科學領域開發者的第一項挑戰。但是當你學完爬蟲的技術之後,開始真的跳入爬蟲世界之後會發現有網站其實沒有想像中好爬。當自動
Thumbnail
avatar-avatar
張維元的沙龍
爬蟲又被擋了怎麼辦?常見的反爬蟲處理策略
資料爬蟲是資料分析的起手式,必須有好的、可用的資料才得以進行高品質的資料科學專案,爬蟲也是資料科學領域開發者的第一項挑戰。但是當你學完爬蟲的技術之後,開始真的跳入爬蟲世界之後會發現有網站其實沒有想像中好爬。當自動
Thumbnail
avatar-avatar
Vic Lin的沙龍
SQL Injection 攻擊與防禦
假如你開發了一個網站,有user登入的功能,駭客故意輸入SQL語法來破壞原本的SQL結構,這就是SQL注入攻擊。
#SQLInjection#SQL注入
Thumbnail
avatar-avatar
Vic Lin的沙龍
SQL Injection 攻擊與防禦
假如你開發了一個網站,有user登入的功能,駭客故意輸入SQL語法來破壞原本的SQL結構,這就是SQL注入攻擊。
#SQLInjection#SQL注入
Thumbnail
avatar-avatar
Vic Lin的沙龍
防禦XSS攻擊
1. 設定cookie為HttpOnly 在一般的情況下,cookie是可以透過javascript來存取的(document.cookie),如同上一篇所說的,有可能會有XSS攻擊的風險。 將cookie設定為HttpOnly,表示這個cookie無法透過js存取。
#CrossSiteScriptingprevention#XSSprevention
Thumbnail
avatar-avatar
Vic Lin的沙龍
防禦XSS攻擊
1. 設定cookie為HttpOnly 在一般的情況下,cookie是可以透過javascript來存取的(document.cookie),如同上一篇所說的,有可能會有XSS攻擊的風險。 將cookie設定為HttpOnly,表示這個cookie無法透過js存取。
#CrossSiteScriptingprevention#XSSprevention
Thumbnail
avatar-avatar
Vic Lin的沙龍
Cross-Site Scripting 攻擊
Cross-Site Scripting簡稱XSS,它指的是駭客在網頁裡插入惡意程式碼,當其他user瀏覽該網頁時,惡意網頁程式碼就會被執行。
#CrossSiteScripting#XSS
Thumbnail
avatar-avatar
Vic Lin的沙龍
Cross-Site Scripting 攻擊
Cross-Site Scripting簡稱XSS,它指的是駭客在網頁裡插入惡意程式碼,當其他user瀏覽該網頁時,惡意網頁程式碼就會被執行。
#CrossSiteScripting#XSS
Thumbnail
avatar-avatar
Vic Lin的沙龍
HTTP Basic Authentication
HTTP Basic Authentication
#HTTPBasicAuthentication#HTTP基本認證
Thumbnail
avatar-avatar
Vic Lin的沙龍
HTTP Basic Authentication
HTTP Basic Authentication
#HTTPBasicAuthentication#HTTP基本認證
追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News