我正在使用PHP中的用户身份验证库。现在我拥有有状态和无状态的CSRF保护,一切都是安全的。我的问题是该API适用于远程应用程序(移动应用程序,游戏等),并且具有面向公众的脚本,以允许客户端应用程序执行授权/登录用户的请求。我想在此API中包含用于创建和删除用户的功能,以便客户端可以自己完成所有操作,但无法找到一种方法来创建它,以便创建脚本不能只是被任何人击中,用虚假用户充斥数据库。使用API创建用户时,我在请求中不需要除用户名或密码之外的任何凭据,这意味着任何人都可以点击该脚本。有没有人知道一个安全的解决方案,以防止攻击者使用API创建/删除自己的用户?
答案 0 :(得分:0)
你可以通过要求一个密钥来增加模糊性。在客户端代码中分发密钥。但是,访问客户端代码的任何人都可以看到密钥并使用它。但随机人员扫描您的服务将不会有客户端代码,也不会有密钥。