Azure API管理:Postman仍然可以访问我的API,如何限制Postman?

bweufnob  于 2023-04-11  发布在  Postman
关注(0)|答案(1)|浏览(167)

bounty将在5天后到期。回答此问题可获得+50声望奖励。Ziggy正在寻找来自信誉良好的来源的答案

我有一个应用程序,它调用一个API来获取某个服务的用户名和密码(Azure函数)。我创建了Azure API和Azure函数,以便在html/javascript代码中隐藏凭据(Web应用程序)。凭据通过JSON从Azure函数中出来,并通过API发送到我的Web应用程序。但是,这个解决方案的问题是POSTMAN仍然能够访问我的API,并因此显示凭据(任何受人尊敬的开发人员都可以这样做)
我尝试了以下方法,但没有成功:
1.有一个CORS设置,只允许一个网站访问我的API。请参阅下面的设置。
1.将我的Azure函数限制为仅允许API管理服务的IP地址。这不起作用,因为 Postman 只能调用API。
这两种情况都不起作用,有什么帮助吗?

我想知道为什么 Postman 仍然可以访问我的API。我如何限制它这样做?
P.S.我现在知道的唯一解决方案就是让它去做,让API限制请求,但不要禁用POSTMAN

41zrol4v

41zrol4v1#

CORS是客户端验证的东西。浏览器知道请求可能是恶意的(跨站请求伪造),并将首先发送OPTIONS请求以验证是否允许发出该请求。
Postman是一个用于测试的工具,不强制执行CORS策略。

相关问题