在浏览器选项卡中查询时如何保护 GET 请求

大家好，今天本人给大家带来文章《在浏览器选项卡中查询时如何保护 GET 请求》，文中内容主要涉及到，如果你对Golang方面的知识点感兴趣，那就请各位朋友继续看下去吧~希望能真正帮到你们，谢谢！

我目前的任务是开发股票市场数据 API，安全性是重中之重。我能够使用 JWT、API 密钥、中间件身份验证来保护传入的 GET 请求。

假设当用户未登录时，众所周知，所有 http 方法（尤其是 GET）都会以 http 状态 401 未经授权的访问进行响应。

我的问题是，当用户登录我们的应用程序时，现在可以成功查询 API 请求（服务器到服务器），但是当我将请求链接复制到浏览器新选​​项卡（例如 chrome）时，我可以看到回复。这是预期的，因为用户已登录，但我希望请求响应不会在浏览器中看到。我们的其他竞争对手使用 POST 来对抗浏览器默认的 GET。

我们应该转向 POST 吗？我很挣扎，因为 GET 是请求内容的正确 http 方法。

解决方案

对于股票市场数据等私人内容，我的第一选择是发布请求。

我曾经通过检测浏览器来阻止来自浏览器的 GET API 请求，基于用户代理字符串和自定义头元数据等内容，但根据经验，这不是一个完美的解决方案。

我过去使用的另一个技巧是使用简单的加密算法（它不安全，但速度很快。这只是一种干扰）来加密值。因此，如果有人确实提取了 json 响应，则数据将是垃圾，除非使用密钥解密，在您的情况下，密钥可能是 jwt 令牌。

再说一次，这些技巧对高技术人员的安全没有任何作用，但足以分散常规到平均逆向工程技巧的注意力。另外免责声明，我从未使用 GET 来获取任何重要的财务和股票相关信息。我的规则是对普通填充内容使用 GET，对重要内容使用 POST。

如果您想在浏览器窗口中隐藏输出，最好转到 POST。与 GET 一样，浏览器将始终直接显示输出。

但是，请注意，如果有人想查看 API 响应，他们仍然可以使用 JS 模拟 API 调用并在浏览器控制台中查看响应，或者使用 Postman 等客户端来获取响应。如果他们有适当的令牌，他们总是可以检查你的响应，没有办法绕过它。

我相信它在新选项卡中也能工作，因为用户已登录，并且 JWT 令牌以可从新选项卡访问的方式存储在 cookie / localstorage / 中。并且您的服务器也能够访问它。

如果您使用 JS 应用程序（可能是 React？）发送令牌，并调整您的服务器每次都通过请求标头接受令牌，在这种情况下，仅打开该 url 将不再起作用，因为它将具有请求标头中缺少令牌。

今天关于《在浏览器选项卡中查询时如何保护 GET 请求》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！