請問有經驗的大大，如果專案把前後端分開
前端如下：
介面、美工、js，資料都透過api跟後端要
開發時可以畫好前端，轉成css，js做程式部分
然後跟後端把api接口定義好
後端：
商業邏輯、後端資料庫、3rd api ...
就做一堆api給前端用
這樣看起來不錯，但是不是也代表後端的api其他人也看得到，也可以用？
如果不想某些資料被外人用api拿到
最後還是只能server side把資料跟頁面都結合起來
再一併送給end user？

頁面和資料放在一起一樣拿的到啊

驗證授權後發Token給前端, 之後前端呼叫API都帶Token

你寫在一起 別人用爬蟲難道抓不到?

要加權限控管啊 token不對就不送資料

一個人開發的時候，會變慢

感覺你根本沒寫過網站吧...

呃 先學學什麼叫API API可以怎麼開發怎麼用 google不難吧

你跟我要資料 我就要給你?? 的概念

CORS 的問題啊，早就有解了

JWT 你一定沒寫過 API

有GATEWAY TOKENSERVICE OAUTH這些啊...

google就一堆資料了 api authentication

去把推文提到的關鍵字查過一輪再說

對不起..這可能是個錯誤的方向,所以這樣分開完全沒缺點?

還是有啊，單人開發，小網站，開發速度就會慢

案件金額在一百萬以下的網站我架構時不會分離

seo要花功夫

剛剛正想去ajax版問這個問題...原來會被噓阿

我唯一可以想到的缺點是雇主要請比較多人無法 cost down

缺點是老闆要多請一個人的薪水

開no-cors 就可以限制了

= = 混在一起一樣能解阿...基本上各面考量分開>>混在一起大概除了慣老闆的成本估算法才會是分開比混在一起差吧

跟TOKEN無關吧 原PO想把API來源藏起來 F12也看不到最簡單的就是用SV語言再包一層 但是好累

API來源藏起來? 從沒聽過願聞其詳

api來源看是為什麼要藏啊 單純藏機器就用haproxy

Token你可以思考怎麼擋掉從別的 domain 來的 request

來源藏起來就弄個gateway啊

這樣說好了 一般的網站response的是html 而api回應的是json或xml 有現成工具能解析 而html需要手動去解析不論你用的是不是api 公開在外面的東西都是會被拿到的

那自定義封包格式吧

最大的缺點就是老闆要多出一份薪水給前端

想隔空抓藥是不太容易

為什麼不是多出一份薪水給後端

因為一般來說慣老闆會要後段兼前段

樓上正解

會有這樣想法，是因為缺乏整體系統架構的概念，包涵防火牆，三層式架構附註，樓上前端與後端的定義，很多人不一樣

內文敘述就知道你沒寫過後端，不然就是你公司資安方面很弱

沒寫過就沒寫過啊原PO也許就前端被主管凹這需求 $又沒多後端或OP不動當然就前端去藏啊

同事很78的話很痛苦 他做後端要前端配合他 他做前端就要後端配合他 改東西只會改自己那端方便的改法 唉

應該說在分開之前 就是後端工程師兼前端阿...這個模式走了少說10~15年了...

DEBUG遇到機八的後端很不方便

工作是為了賺錢 你覺得哪個方法毛利高就用哪個 case by case. 理想上當然拆開比較好 但是如果只有你一個人開發你寫的API只有你呼叫 網站也沒幾個人用 那你拆開來是寫來自high嗎

哪有什麼優缺點 只是你了解程度