Как защитить свои post запросы

Ребята добрый день, подскажите такую штуку, пишу проектик на express, у меня есть самописная админака там пару кнопок, по нажатию отправляю на свой сервак post запросы, но вопрос в чем, любой же человек может посмотреть в source вкладке мой main.js и найти там все пост роуты в фетче и какое тело они принимают, и отправлять такие запросы из тогоже постмэна, например получить список всех юзеров из базы, как вообще защищать все эти роуты ?

Аутентификация и авторизация.
Эти роуты могут, например, быть защищены паролем и пускать только администратора.

1 лайк

@kprudnikov все верно написал.

Как частный случай авторизации можно настроить базову http авторизацию (https://en.wikipedia.org/wiki/Basic_access_authentication). Ее можно сделать как на уровне express. Если у тебя приложение бежит за проксирующим сервером, то можно на уровне самого сервера: пример для nginx https://docs.nginx.com/nginx/admin-guide/security-controls/configuring-http-basic-authentication/. Если сайт доступен публично то важно чтобы был настроен https чтобы избежать man-in-the-middle attack.

2 лайка