我有一个JavaScript SPA,它使用了使用Django(Django Rest Framework)构建的后端REST API。这是一个小型的学术项目,可能会定期吸引几百名用户。我们的初步设计假设用户可能希望保存数据,但最近与潜在客户的咨询使我们怀疑是否需要合并此功能。因此,这将完全消除对后端API的POST请求的任何需求,只留下GET。这些GET(通过axios)仅包含路径参数,没有查询参数,并返回小JSON有效负载,用于在应用程序中呈现SVG组件(此数据是只读的静态数据,已存储在后端数据库中)。
假设需要满足用户上传需求,我们还添加了用户登录/注销和帐户管理功能。我们甚至开始考虑整合Auth0。但是,如果我们完全删除用户上传,我们甚至需要以这种方式保护我们的API端点吗?
根据OP中给出的内容,答案是,不,您不需要身份验证。
无论使用何种HTTP动词,只要问问自己,无论您通过REST apis公开的功能是什么,至少,您是否关心如何使用您的API做什么?如果不是你不需要身份验证
基本上,
如果回答所有这3个是否定的,则不需要身份验证。