※ 引述《sean72 (.)》之铭言:
: ※ 引述《sean72 (.)》之铭言:
: : 假设我架设了一个大联盟球员数据查询网站
: : 努力整理分析数据,又花钱租了server
: : 架构用rest api
: : 前端送api到server,后端传json回去
: : 如果某个路人看到我的网站整理的很棒
: : 他也想做一个
: : 那他岂不是只要自己写个前端
: : 然后使用和我一样的api,我的server一样会回应我所整理好漂亮整齐的json
: : 这个路人岂不是做起了无本生意吗?
: : 请问这个问题有解吗?
: 谢谢大家推文的回答
: 我了解"真的要爬挡也挡不住"这点 (我自己也是爬资料回来整理)
: 我在乎的是
: 不管是token, 时间hash 等等
: 对方只要模拟一下我的前端
: 我的server也同样的会回应token给他
: 别人可以用同样的api取得我的资料
别人模拟你的前端去呼叫你的api时,应该会受到同源政策(Same-origin policy)的限制吧
另外你也可以使用防范CSRF的方式,譬如进到你的网页时,你Server回应的html中会有供
api认证用的Token,然后有个button click后会使用这个Token去呼叫你的api取得资料,
顺便取得下次认证用的Token,这样别人网页呼叫你的api时,因缺少必要的Token而认证失
败
当然以上是小弟的一些浅见,可能也会有错误的地方,还劳烦各位高手指正
: 而且不费工夫马上套用到他的网页中
: 他的前端不可能一边爬 + 一边parse + 一边秀内容给user才对吧?
: 这样每个end user都得是超级电脑才行
: 就如同google place好了
: (撇除throttle这因素)
: 我也架了一个网页叫做sean72place.com
: 你到我的搜索框搜索
: 我的前端直接把字串喂估狗,google retun json
: 我把结果直接显示在sean72place.com
: 我也不是要做大生意,所以没有大流量
: 但是我也成功地"架设"并且营运一个网页了 这样岂不是怪哉?
: 难道所有用restful架构的业者都这么佛心吗?