我有一个应用程序,客户端,使用auth0访问服务器上的不同API。但现在我想添加另一个应用程序,一个单页应用程序,我将使用VueJs,这个应用程序将“理想地”打开用户不必登录,它就像一个功能减少的演示,我只是想要检查用户基本上不是机器人,所以在这种情况下我不会暴露我的API。
我的想法到目前为止: - 以某种方式完全使用recaptcha和auth0。 - 然后有一个新的服务器,它将验证调用是仅对允许的端点进行的(这不是我对问题的兴趣),所以即使以某种方式验证了auth,它也不会让真正的服务器对所有人开放电话类型。 - 将呼叫与持有者令牌一起传递给服务器,就像我使用其他旧的客户端应用程序一样。
这可行吗?现在我强迫用户验证,这是关于UX(用户体验)的更多事情,但我想要一种避免这种情况的方法。我知道,只有使用auth0我不能这样做see this post from Auth0,所以我期待在我提到的之间混合。
编辑: 我坚持在这两种情况下进行验证,但我仍然有兴趣就此作为未来的参考。
最后,根据auth0如何工作的概念,这个想法是不可能的,所以我的方法如下:给临时认证(auth 0)访问者一个具有受限访问级别的令牌,然后将请求传递给新的中间服务器,想法是加密真实的ID,以便前端认为它正在请求项目A123456etc,当它确实将在中间服务器中解密以投影456y-etc并且给出白名单时它将决定将请求与令牌一起传递对于最终服务器,最终服务器具有减少xss和Ddos威胁的措施。
无论如何,如果有更好的决心,我会改变接受的答案。