我正在为我参与的项目开发API .API将由Android应用程序,iOS应用程序和桌面网站使用。几乎所有API都只能由注册用户访问。 API允许通过WSSE进行身份验证,这对于移动应用程序非常有用,但对于网站来说并不是那么好。但是,我正在使用Symfony2开发API,并且我已将其配置为允许通过WSSE和/或会话/ cookie身份验证(具有共同安全上下文的多个防火墙,如果您感兴趣)访问API。
使用像这样的API优先方法,我担心被滥用的东西。以我的注册方法为例。我只希望它被应用程序或网站使用。然而,没有什么可以阻止某人编写一个简单的脚本来伪造API与伪造的注册。然后是对CSRF的担忧。由于登录用户可以访问API,因此可能会被利用。
我不希望API公开,但我不知道这是否可能,因为它将被网站使用。我能做些什么来消除(或减少)风险和漏洞风险?
亲切的问候。
答案 0 :(得分:2)
对于注册暴力问题,您可以为API调用启用“速率限制”。
blog post引入了这个概念以及如何在Symfony2应用程序中使用它,感谢RateLimitBundle。