как я могу избежать оскорбительного использования моего REST API? Например, у меня есть веб-сайт, на котором определенные действия получают кучу точек, которые хранятся в учетной записи пользователя. Так что технически, когда это действие выполняется, я вызываю конечную точку REST, чтобы добавить точки в учетную запись пользователя. Само действие происходит только на веб-сайте, поэтому нет способа проверить, действительно ли действие произошло изнутри.Как избежать оскорбительного использования конечной точки REST
Как я могу избежать, что кто использует отладчик Javascript, чтобы найти вызов и просто запускаю его непосредственно для того, чтобы обмануть ... Есть ли какой-то принцип, чтобы избежать такого рода неправомерного использования?
EDIT: Ниже приведен пример, чтобы сузить круг вопросов: например. у нас есть очередь ожидания, где вы можете уменьшить время ожидания, чириканье о странице. У SDK Twitter есть метод обратного вызова, который запускается, когда пользователь отправляет твит. Когда это происходит, бэкэнд вызывается, например. api.somedomain.net/user/xyz123?hasTweeted=1 или аналогичный.
Так что мой вопрос в том, как защитить последний шаг (вызов api.somedomain.net), так как кто-то мог найти этот URL REST и вызвать вызов вручную, не создавая твита.
Вызов конечной точки Отдых в Js [обещание] (http://documentup.com/kriskowal/q/), так что вы будете обновлять пользовательский интерфейс на случай SucceS и в противном случае вы будете иметь возможность показать сообщение об ошибке. –
Предполагаете, что вы не аутентифицируете пользователя перед увеличением счетчика?Также тот факт, что его REST, если вы вводите какие-либо трюки, такие как токен или что-то другое, то это нарушит остальные принципы существования без гражданства. – Amit