我目前正在开发一个概念验证系统,该系统涉及一个后端API,该API由多个可能的客户端应用程序使用,包括移动客户端和同构React客户端。
我主要负责身份验证和授权,唯一剩下的问题(我至少可以看到)是注册用户的路由 - POST / users /,因为它是公开的,无需授权。我主要担心的是保护该路由免受恶意垃圾邮件的攻击,而不是实施CORS和速率限制。
E.g。 curl -X POST -d "{ email: 'hello@gmail.com', password: 'nahnah' }" http://host.com/api/v1/users
我的选择是什么?
我提出的一个解决方案是强制SPA将注册表单提交到服务于SPA(它需要SSR)的服务器内的快速路由,以便在服务器上进行API调用,这意味着浏览器的网络选项卡将没有API调用的记录。这意味着我还必须在SPA中实施CSRF令牌。
另外,这通常是一个坏主意吗?