加密/签署客户端到API请求?

时间:2015-09-18 13:23:20

标签: ruby-on-rails json api security sign

我们正在Web应用程序之上构建JSON API,使用JSONAPI::Resources公开端点,Doorkeeper来处理用户身份验证。

我们的大多数API端点仅向经过身份验证的用户公开,而Doorkeeper可能会在执行此操作方面做得很好。但是我们仍有一些端点不会被验证:注册,登录,帐户确认,以及其他几个。

我担心让这些API端点完全打开会让我们受到攻击,例如以新帐户发送垃圾邮件的形式。

  1. 也许我担心的不仅仅是必要的? API通常会让这种端点不安全,并添加像限制这样的预防系统吗? (Rack::Attack!!!?)
  2. 如果没有,是否签署(或加密)我的请求,然后再以正确的方式将其发送到API服务器?
  3. 如果是这样的话,你有这方面的建议或首选方法吗?

    4. 我尝试了Google关键字,例如" rails api sign request"或者" rails api加密请求",但我不确定结果是否相关,或者推荐哪一个。

    与此API通信的第一个客户端将是Android然后是iOS应用程序,我们可能会在未来的客户端Web应用程序中添加(目前,我们的Web应用程序是单片的,不使用API​​)。 / p>

0 个答案:

没有答案
相关问题
最新问题