不知道在哪个版问..
我是刚毕业的新鲜人，原本做前端，但公司日后要开发一个简易小系统，叫我之后可以学
一下怎么设计api。
我是用express做的。有个问题是遇到跨域的状况时，有查到说要写上
Access-Control-Allow-Headers ：*
所以我好奇为何postman测试的时候都不会有跨域问题，有查到说跨域问题是浏览器同源
策略的安全限制，postman只是类似代理所以不存在这个问题。
那这样别人拿到我的api在本机用postman乱改不就会直接改到我的资料吗？
不知道有没有解释清楚，请问各位是如何设计自己api的安全机制呢？谢谢

你在浏览器中就会被挡，还有你api要有验证机制你在浏览器中就会被挡，还有你api要有验证机制这样user要乱改只能改自己的资料

要保护好自己的API

男森真的要好好保护自己

后端API最重要的观念就是不要相信前端阿XD

你想问的应该是怎么限制非授权使用者存取api，web可以考虑session jwt这些方案

API的AA 跟 Browser的CORS 是两件不同的事情

api本身要有验证机制 cors只能防君子 不能防小人

后端如果都相信前端就会变成之前统联客运事件

谢谢各位的解答！

对方要有设定资讯来跟你要token，然后才能用token换资料可以参考google跟fb怎么做的

Keyword auth