请问有经验的大大，如果专案把前后端分开
前端如下：
接口、美工、js，资料都透过api跟后端要
开发时可以画好前端，转成css，js做程式部分
然后跟后端把api接口定义好
后端：
商业逻辑、后端数据库、3rd api ...
就做一堆api给前端用
这样看起来不错，但是不是也代表后端的api其他人也看得到，也可以用？
如果不想某些资料被外人用api拿到
最后还是只能server side把资料跟页面都结合起来
再一并送给end user？

页面和资料放在一起一样拿的到啊

验证授权后发Token给前端, 之后前端呼叫API都带Token

你写在一起 别人用爬虫难道抓不到?

要加权限控管啊 token不对就不送资料

一个人开发的时候，会变慢

感觉你根本没写过网站吧...

呃 先学学什么叫API API可以怎么开发怎么用 google不难吧

你跟我要资料 我就要给你?? 的概念

CORS 的问题啊，早就有解了

JWT 你一定没写过 API

有GATEWAY TOKENSERVICE OAUTH这些啊...

google就一堆资料了 api authentication

去把推文提到的关键字查过一轮再说

对不起..这可能是个错误的方向,所以这样分开完全没缺点?

还是有啊，单人开发，小网站，开发速度就会慢

案件金额在一百万以下的网站我架构时不会分离

seo要花功夫

刚刚正想去ajax版问这个问题...原来会被嘘阿

我唯一可以想到的缺点是雇主要请比较多人无法 cost down

缺点是老板要多请一个人的薪水

开no-cors 就可以限制了

= = 混在一起一样能解阿...基本上各面考量分开>>混在一起大概除了惯老板的成本估算法才会是分开比混在一起差吧

跟TOKEN无关吧 原PO想把API来源藏起来 F12也看不到最简单的就是用SV语言再包一层 但是好累

API来源藏起来? 从没听过愿闻其详

api来源看是为什么要藏啊 单纯藏机器就用haproxy

Token你可以思考怎么挡掉从别的 domain 来的 request

来源藏起来就弄个gateway啊

这样说好了 一般的网站response的是html 而api回应的是json或xml 有现成工具能解析 而html需要手动去解析不论你用的是不是api 公开在外面的东西都是会被拿到的

那自定义封包格式吧

最大的缺点就是老板要多出一份薪水给前端

想隔空抓药是不太容易

为什么不是多出一份薪水给后端

因为一般来说惯老板会要后段兼前段

楼上正解

会有这样想法，是因为缺乏整体系统架构的概念，包涵防火墙，三层式架构附注，楼上前端与后端的定义，很多人不一样

内文叙述就知道你没写过后端，不然就是你公司资安方面很弱

没写过就没写过啊原PO也许就前端被主管凹这需求 $又没多后端或OP不动当然就前端去藏啊

同事很78的话很痛苦 他做后端要前端配合他 他做前端就要后端配合他 改东西只会改自己那端方便的改法 唉

应该说在分开之前 就是后端工程师兼前端阿...这个模式走了少说10~15年了...

DEBUG遇到机八的后端很不方便

工作是为了赚钱 你觉得哪个方法毛利高就用哪个 case by case. 理想上当然拆开比较好 但是如果只有你一个人开发你写的API只有你呼叫 网站也没几个人用 那你拆开来是写来自high吗

哪有什么优缺点 只是你了解程度