首先,抱歉我是 Nginx 新手。我们使用需要身份验证的第三方 API,并且我们想通过在 Nginx 中设置反向代理来保护 API 密钥。我确信我知道如何设置这部分 - 创建一个location,proxy_pass将其连接到第三方服务器并添加身份验证标头。
但是,即使 API 密钥是安全的,此时任何用户都可以通过前端 URL 完全访问 API,对吗?我该如何将对代理 API 的访问限制为来自 Web 服务器本身的请求?在这里添加 CORS 标头是正确的解决方案吗?
我感到困惑的部分原因是我不确定前端代码中 AJAX 请求的“来源”是什么?由于代码是在浏览器中执行的,因此它算来自 Web 服务器还是来自用户计算机?