如何保护我的REST API以识别某些用户/脚本生成的虚假请求,并使我的服务器充斥数百万个请求?
如果某人编写了任何脚本或程序并生成了数百万次调用我的REST API,我如何保护我的服务免受这些请求的影响,以便我的API不会失效。一种方法是我可以使用验证码,但是当呼叫者是人时,验证码是有用的。如果调用者是一个应用程序,我不能使用验证码。有没有可用于处理此类场景的框架?
答案 0 :(得分:0)
您可以为每个请求传递令牌。
此令牌应使用任何加密算法,并使用密钥在客户端和REST服务中加密和解密令牌。
前:
Client request : What is the weather of Chennai ? Token : chennai + 123 (Key)
Server Response : chennai123 : its valid : response 40 !!
Here key is 123 it should not available in public
答案 1 :(得分:0)
您的服务体验称为DoS / DDoS攻击。这是目前对Web服务最常见的攻击之一。
有很多方法可以减轻这种攻击 煮沸以分离API消费者提出的合法请求与攻击者/攻击者执行的恶意请求。此类攻击通常会自动化,因此请求会以某种方式彼此相似(IP范围,HTTP标头等)。例如,一种非常简单的方法是识别攻击来自的IP范围并将其阻止在服务的防火墙上。
这里有一些帖子讨论(D)DoS的预防,例如: How do major sites prevent DDoS? 或What techniques do advanced firewalls use to protect againt DoS/DDoS?。
第三方服务/产品可能会帮助您保护API。我不想在这里提及,因为我不想宣传其中任何一个。你需要做一些搜索。
祝你好运。