Защита конечной точки регистрации пользователя API, используемой мобильным приложением

Question

Я недавно научился использовать JWT для защиты конечных точек пользователя для API, который я создаю для своего мобильного приложения.

В настоящее время у меня есть система входа в систему, где пользователь приложения автоматически регистрируется на сервере, затем автоматически авторизован и выдается JWT для использования для всех последующих запросов. Все маршруты защищены, за исключением следующих 2:

1) POST/register: Самое главное, что я не мог понять, как защитить. Любой, у кого есть URL, может в настоящее время передавать любую комбинацию логина/пароля и считать себя зарегистрированным и впоследствии получать JWT. Я хочу ограничить регистрацию только моим мобильным приложением. Как я могу это сделать?

2) POST/auth: используется для проверки входа/пароля и выдачи JWT. Я думаю, что нормально оставаться незащищенным, если мне удастся защитить регистрацию. Но я действительно хочу ограничить его и своим мобильным клиентом.

спасибо.

Answer 1

Для защиты регистрации недостаточно защитить конечную точку. Пользователи всегда могут сделать requests на вашем сервере.

Вы должны выполнить: проверку подлинности электронной почты или проверку телефона или использование Captcha. Это предотвратит регистрацию роботов.

Рекомендуемая Captcha библиотека по Google:

• https://www.google.com/recaptcha/intro/index.html