Api security issue (lumen,nuxt js, mobile apps)

assalamualkum,
amar api lumen diye host kora ache (ex: api.lemonpatwari.com).
ei host theke api er maddhome data niye ami student portal (students.lemonpatwari.com) nuxt diye & mobile apps banabo.
ei khetre ami chaschi amar banono api only amar student portal & amar mobile apps use korte parbe (login kore student access korte parbe).now ami kivabe api gulor security insure korte pari, jeno onno kono person amar api use kore mobile or web apps banate na pare, event postman diye login kore header set kore jeno data access na korte pare.

এপিআইতে অথেনটিকেশন ব্যবহার করতে পারেন যদি প্রাইভেট কিছু হয়। আর পাবলিক এপিআই এর জন্য CORS এনাবল করেন যাতে জাভাস্ক্রীপ্ট দিয়ে ফ্রন্টেন্ডে মেনিপুলেট না করতে পারে।

student email & pass er maddhome login korei data access korbe. ami chaschi only ei api gulo students.lemonpatwari.com domain and amar banono mobile apps thekei access kora jabe. onno kono domain theke access kora jabe na and onno keu ai api diye mobile apps banate parbe na. nuxt er moddhome student portal kora, tai easily inspect kore api path khuje ber kora jasche.
cors apply kore postman, mobile apps er jonne api restricted korte pari ni vaiya, ki vabe kora jete pare, kindly janaben :pray:

Write Bangla or English. Be professional. I don’t read banglish sorry.

2 Likes

sorry dear brother.

my api is public for students, we had added authentications. students can login portal by his/her email and password and can access information. now i want to restrict my api for only students.xxx.com domain and only for my android apps (xxx student portal).

students portal are created by nuxt js, so other person can easily find api end point by inspect element and they can make easily web or mobile apps by using this api. Now i want to accept request only for students.xxx.com and xxx student portal. how can i authorize request by usings cors, so that other person did not access data by postman or create new apps.

আপনি একটা মিডলওয়্যার ব্যবহার করতে পারেন লুমেনে। ঐখানে হেডার অরিজিন হিসেবে আপনার ফ্রন্টএন্ডের ডোমেইনকেই এলাউ করবেন। অথবা আরো উপরের লেভেলেও করতে পারেন, এপাচিতেও CORS সক্রিয় করতে পারেন।
অবশ্য আপনি যদি ন্যাটিভ মোবাইল এপ দিয়ে এপিআই কনজিউম করেন তবে CORS প্রযোজ্য হবে না।