Просто хотел узнать, какие шаги следует предпринять, чтобы предотвратить API от злоупотребления ...Что необходимо для защиты API от злоупотреблений?
ответ
В зависимости от случая использования вы можете:
- Требовать проверку подлинности (маркер для каждого пользователя) скорость
- Предела доступа (х обращений в времени у) доступа
- Ограничение по IP
- предельный размер сделок
- предельный размер ответа за определенный период времени
- Спросите людей, чтобы быть хорошим
думать с точки зрения инкапсуляции и объема, ограничивая доступ к определенным элементам и компонентам API. например, ur API может иметь внутренние переменные, которые используются во множестве внутренних классов; однако, если разработчик вмешивается в важную переменную, которая может компенсировать весь набор данных в вашем API, то вы определенно хотите ограничить доступ к ней, в одном случае (как часть примера) используется расширение класса или, возможно, передача переменной по мере необходимости и используя локальную декларацию вместо глобальной. также, если вы используете C++ с использованием файлов заголовков, это хороший способ ограничить экспозицию API.
В целом, такая техника носит специфический характер, я бы рекомендовал читать информацию о сфере видимости в понятии и сфере действия, специфичной для языка, который вы собираетесь использовать.
PS: Есть также различные сферы применения ключевых слов для методов, а также, например, защиту и т.д.
я надеюсь, что это помогает ...
{} редактировать просто заметил PHP тег, я думаю хороший способ сделать API инкапсуляции ограничивает доступ через POST/GET веб-операции для веба-приложений, и проверки ввода таких запросов ...
- API-ключи для разработчиков, убедитесь, что API не полностью открыт, чтобы каждый мог делать запросы.
- Наблюдение за сеансом для пользователей, например, @vsz. Убедитесь, что каждый пользователь получает уникальный сгенерированный токен и обновляет его время от времени. Лично я использую хэш-файл sha256 случайных данных для создания токена пользователя.
- В зависимости от того, кто будет использовать ваш API, может быть полезно ссылаться на любые типы входов/обновлений в вашей базе данных на конкретный ключ API, таким образом, если у какого-либо разработчика есть действительный ключ API, но либо они программируют вредоносные код или кто-то нашел эксплойт, вы всегда можете вернуться и удалить любые вредоносные данные, спам или что-то еще.
может быть, если вы дали более подробную информацию о том, что API предназначается, чтобы мы могли дать лучшие ответы
Это все зависит от конкретной природы API. (Насколько ценен ресурс, что API позволяет получить доступ к какому типу злоупотребления ты беспокоишься Etc.?) Некоторые типичные вещи включают в себя:
- Дроссель доступ к вашему API (например, вызовы в секунду), например,для предотвращения чрезмерной нагрузки на сервер
- Ограничьте объем данных, которые могут быть получены из API (например, записи данных в месяц), например. чтобы люди не крали ваши данные
- Требовать от пользователей регистрации до использования API и, возможно, проверить их электронную почту или даже номер телефона, чтобы убедиться, что вы действительно знаете их личность.
- Требовать от пользователей принять лицензионное соглашение до используя API
- Ограничить некоторые части API только определенным клиентам
- Charge деньги за доступ к API (например, когда человек превышает квоту, или хотите специальные условия лицензирования)
Рассмотрите возможность использования внешнего сервис, чтобы сделать все это. Моя компания, WebServius (http://www.webservius.com) является одним из примеров, и есть и другие.
- 1. Как защитить API от злоупотреблений?
- 2. API защиты от копирования для C++
- 3. Означает ли видимость символа защиту общей библиотеки от злоупотреблений/трещин?
- 4. Защитный API для защиты от андроида с использованием весенней безопасности
- 5. Простое приложение Facebook, никаких разрешений, кроме добавления защиты от злоупотреблений/отслеживания пользователей?
- 6. Как избежать злоупотреблений API для наружного использования в Android?
- 7. Лучший способ предотвратить количество просмотров от злоупотреблений
- 8. Безопасность отключения защиты от CSRF для API доступом в Джанго
- 9. Что необходимо для НЛП?
- 10. Приложение для защиты от кавычек от кражи
- 11. Что такое альтернативы для защиты веб-сервера, отличного от брандмауэра
- 12. Okta Authentication и OAuth для защиты API
- 13. Фильтр CSRF token для защиты от CSRF
- 14. Обнаружение злоупотреблений для системы рейтинговой оценки
- 15. Что необходимо для подключения?
- 16. Как реализовать FosOAuthServerBundle для защиты REST API?
- 17. Что необходимо для использования разрешения ads_read в Facebook API?
- 18. Код защиты от отслеживания
- 19. Что необходимо для установки Spring?
- 20. система защиты от наводнений
- 21. Ключ API с OAuth для защиты REST API в JAVA
- 22. Как защитить конечные точки без серверных устройств от злоупотреблений/DoS?
- 23. Опции для защиты от общедоступных конечных точек
- 24. Версия C++ для защиты пакетов от Java?
- 25. Скрипт для защиты от спама электронной почты
- 26. Использование вспышки для защиты изображений от кражи
- 27. Предоставление формы для защиты от неполадок
- 28. Опции для защиты Clickonce от угона URL
- 29. Необходимо создать адаптер для списка, который я получаю от Api
- 30. Как зашифровать программу для защиты от разборки?
Я думаю, что плакат ссылался на защиту от злоупотреблений со скриптов (т. Е. Уменьшает возможность унижения производительности одного пользователя). –
хм ... я полностью неправильно понял его вопрос:/в этом случае я согласен с @vsz, хотя я не знаю о # 6: P – mayotic