我有一个提供多种休息服务的 Web 应用程序(泽西岛)。大多数端点都受到 BASIC 身份验证的保护。此外,我使用 SSL 进行传输,并为每次调用请求 POST。
客户端/消费者是 Android 应用程序。
到目前为止,一切都很好。唯一容易受到攻击的服务是注册。这是要调用的“第一个”服务,但用户尚不存在。所以我不能使用 OAuth 等。我还必须保持端点易于访问以使用户能够注册。
如何保护此服务的安全,使其不会被充斥我数据库的机器人发送垃圾邮件?
这些怎么样?
- 在请求参数中使用带有令牌的注册链接。确保令牌在一段时间后过期。您还可以创建一个令牌端点 url,以便客户端获取有效令牌。
- 在请求中使用自定义标头或动态自定义标头。此外,您可以检查动态自定义标头以验证请求的真实性。
- 使用注册确认工作流程,例如注册完成后立即进行电子邮件/文本验证。每天运行一个进程来删除在 x 天内未验证的任何用户帐户。
我认为您无法真正以 HTTP 方式保护注册 URL。恕我直言,任何拥有注册网址的人都可能是尝试注册的合适人选。所以如果你问我,选项 3 比其他选项更好。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)