我如何保护 public API 不需要的恶意请求的路由?
How can I protect public API routes of unwanted malicious requests?
我目前正在做一个全栈 Web 项目,现在正在研究 API 安全性。我实现了一个用户登录,然后允许客户端访问我的 API 的大多数路由。但是也有一些不受保护的路由可以而且必须在没有登录的情况下访问(例如注册,登录,...)。
一条路线,例如 returns 特定用户名或电子邮件地址是否已被其他用户占用并在注册过程中使用。对于有恶意的人来说,这条 public 路线将有助于找出哪些电子邮件地址或用户名试图破解或猜测密码,因为他们可以避免未使用的凭据。
我知道大公司经常使用此功能来向用户显示他是否可以使用他想要的用户名。他们如何确保没有虐待?我怎样才能保护我的 API 和用户不受此影响?
如有任何帮助,我将不胜感激。非常感谢!
限制 API 限制滥用率是一种很好的做法。一种方法是指定每个 IP 地址的最大请求数量 API,然后忽略这些请求。
可以找到一篇很好的文章来描述这样做的解决方案,并展示了在 NodeJS 中实现的示例 here。
感谢 Gilbert Le Blanc 在这方面的帮助。
我目前正在做一个全栈 Web 项目,现在正在研究 API 安全性。我实现了一个用户登录,然后允许客户端访问我的 API 的大多数路由。但是也有一些不受保护的路由可以而且必须在没有登录的情况下访问(例如注册,登录,...)。
一条路线,例如 returns 特定用户名或电子邮件地址是否已被其他用户占用并在注册过程中使用。对于有恶意的人来说,这条 public 路线将有助于找出哪些电子邮件地址或用户名试图破解或猜测密码,因为他们可以避免未使用的凭据。
我知道大公司经常使用此功能来向用户显示他是否可以使用他想要的用户名。他们如何确保没有虐待?我怎样才能保护我的 API 和用户不受此影响?
如有任何帮助,我将不胜感激。非常感谢!
限制 API 限制滥用率是一种很好的做法。一种方法是指定每个 IP 地址的最大请求数量 API,然后忽略这些请求。
可以找到一篇很好的文章来描述这样做的解决方案,并展示了在 NodeJS 中实现的示例 here。
感谢 Gilbert Le Blanc 在这方面的帮助。