我最近学习使用JWT来保护我为移动应用程序创建的API的用户端点。
我目前有一个无登录系统,其中app用户自动在服务器上注册,然后获得自动授权并发出JWT以用于所有进一步的请求。除以下2之外,所有路线都受到保护:
1)POST / register: 最重要的一点,我无法弄清楚如何保护。任何拥有该URL的人当前都可以通过任何登录/密码组合并认为自己已注册,并随后获得JWT。 我想将注册限制为仅限我的移动应用程序。我怎么能这样做?
2)POST / auth:用于验证登录/密码并发出JWT。如果我设法保护注册,我想可以保持不受保护。但我确实希望将其限制在我的移动客户端。
谢谢。
答案 0 :(得分:1)
为了保护注册,仅保护端点是不够的。用户始终能够requests到您的服务器。
您应该这样做:电子邮件验证,电话验证或使用验证码。这将阻止机器人注册。
Google推荐的Captcha图书馆: