我有这个问题,我希望得到其他开发者对此问题的看法。
对于创建用户(例如在Facebook或在Gmail中创建帐户),有些人建议在API中使用公共/私有(意味着我们不告诉开发人员如何使用它)。然而,我认为这是一个安全风险,即使没有记录,当我们的前端应用程序使用该api操作创建新用户时,黑客可以简单地看到调用和http请求(使用类似Web调试器) fiddler)并且可以找到那个动作的URL如此简单!喜欢这个POST~ / api / user / create 然后他/她可以发送数千个创建用户的请求,用户需要进行验证,但他/她仍然在我们的数据库中添加了大量垃圾用户,并给我们的服务器带来了很大的压力。
所以问题是我们如何处理这个问题?仅在我们的网站上允许这样或者什么?
由于
答案 0 :(得分:1)
您可以使用CAPTCHA来验证该用户是否真实。