Spring 关于Rest API访问和最终用户应用程序的跨来源建议_Spring_Rest_Http Headers_Cors

Spring 关于Rest API访问和最终用户应用程序的跨来源建议

spring rest cors

Spring 关于Rest API访问和最终用户应用程序的跨来源建议,spring,rest,http-headers,cors,Spring,Rest,Http Headers,Cors,我不太需要这里的代码帮助，更多关于如何处理这个场景的建议我使用SpringBoot构建了一个RESTAPI 我还有一个简单的混合应用程序，需要部署到公司内部的用户和“购买”API访问的客户。用户可以在世界的任何地方，这意味着我永远不知道他们将在哪个领域我被告知使用下面的标题是不好的做法： "Access-Control-Allow-Origin":"*" 鉴于我知道我们的API的唯一访问点应该是这个前端应用程序，但我永远不知道该应用程序的用户将在哪里，或者他们将在什么网络上，我应该如何做到

我不太需要这里的代码帮助，更多关于如何处理这个场景的建议

我使用SpringBoot构建了一个RESTAPI

我还有一个简单的混合应用程序，需要部署到公司内部的用户和“购买”API访问的客户。用户可以在世界的任何地方，这意味着我永远不知道他们将在哪个领域

我被告知使用下面的标题是不好的做法：

"Access-Control-Allow-Origin":"*"

鉴于我知道我们的API的唯一访问点应该是这个前端应用程序，但我永远不知道该应用程序的用户将在哪里，或者他们将在什么网络上，我应该如何做到这一点

在这里标记spring社区，尽管这不是一个以spring为中心的问题。这是因为我实际上使用的是Spring，我想社区以前已经解决了这个问题。

我相信这个问题并不是关于CORS的

“Access Control Allow Origin”：“*”可以，因为您需要从任何地方访问API

即使您知道需要允许的所有来源，也不应该依赖从客户端发送的来源标头，因为可以发送任何标头

对您的用户进行身份验证，您将知道用户是否可以访问API。

谢谢。

我相信这个问题并不完全是关于CORS的

“Access Control Allow Origin”：“*”可以，因为您需要从任何地方访问API

即使您知道需要允许的所有来源，也不应该依赖从客户端发送的来源标头，因为可以发送任何标头

对您的用户进行身份验证，您将知道用户是否可以访问API。

谢谢