クライアントアプリ（React）とAPI通信を保護する方法

私があなたの質問を正しければ、あなたのクライアント（React App）があなたのサーバーにアクセスできる唯一のクライアントになりたいです。

その解決策として、CORSとJWTの承認を組み合わせて使用​​する必要があります。したがって、厳密なCORSを設定して、Reactアプリのドメインのみがサーバーを呼び出せるようにすることをお勧めします。これを達成するために、私は一般的に [〜＃〜] cors [〜＃〜] npmモジュールと configure サーバー上のOriginを使用するか、自分で行うこともできます。

var express = require('express')
var cors = require('cors')
var app = express()

var corsOptions = {
  Origin: 'http://example.com',
  optionsSuccessStatus: 200 // some legacy browsers (IE11, various SmartTVs) choke on 204 
}

上記のコードでは、example.comからのリクエストのみをサーバーで受け入れるか、より動的なホワイトリストとブラックリストのアプローチについて このコード を確認できます。

JWTに戻ってきました。これは、json暗号化および復号化トークンであり、APIリクエスト全体で共有して、ユーザーを認証および承認することができます。

たとえば、メール、ロール、ユーザーのニックネームなどの情報をJWTに保存し、この暗号化されたJWTを各APIリクエストで送信すると、サーバーはこのリクエストを承認し、trueの場合はリクエストされたAPIに転送します。この承認と転送のプロセスは、通常、ミドルウェア（ Passport oAuth ）が各API呼び出しの前にチェックと認証を行う「インターセプター」パターンを使用して実装されます。

上記の2つのことを実行すると、サーバーとの通信を許可した有効なJWTトークンとドメインアドレスを持つクライアントのみが確実に実行されます。そして、このクライアントは、適切なJWTとOriginアドレスを持つ唯一のクライアントであるため、reactアプリになります。

したがって、あなたの反応アプリは、適切なJWTトークンがAPI呼び出し（post/get/put）で、おそらくAPIリクエストのヘッダーで渡されることを確認する必要があります。これを行うAPIヘルパーサービスを使用できます。 API呼び出しを行うすべての場所でコンポーネントにインポートします。また、ノードサーバーはパスポートミドルウェアパターンを実装して、このJWTを承認し、未承認のリクエストをフィルタリングします。

アプリにログインがない場合は、JWTはクライアントIDにもなり、クライアントを正当なものとして認識します。ユーザーログインと同じように、アプリがサーバーにシークレットクライアントIDのようなデータを呼び出して反応するようにすることができます。これはJWTトークンを返します。 OR JWTトークンを事前に生成し、初回ロード時にアプリストアで反応させることができます。TTLを設定することで、別の設定で確認できますサーバーを呼び出しているクライアントが古いか、新しいか、他の偽のクライアントである場合。

HTH