如何保护API免受恶意使用

Question

我们正在使用Java-Spring和Angular UI开发社区门户服务。我们很快就会推出一款Android应用。我们的后端通过REST API公开了许多服务。有几种服务允许匿名发布和创建服务请求。

以下是我们的问题：

• 我们如何保护API免受类似DDoS的攻击？对于某些API，我们可以进行IP白名单还是限制每分钟的请求？
• 我们如何记录此类恶意请求？