我有一个提供多种休息服务的网络应用程序(泽西岛)。大多数端点都由BASIC身份验证保护。我还使用SSL进行传输,并为每次调用请求POST。 客户/消费者是Android应用程序。
到目前为止一切顺利。唯一容易受到攻击的服务是注册。它是第一个'呼叫服务和用户尚不存在。所以我不能使用OAuth等。我还必须使端点易于访问,以使用户能够进行注册。
我如何保护这项服务,所以它不会被充斥我的数据库的机器人发送垃圾邮件?
答案 0 :(得分:0)
这些怎么样?
我认为您无法以HTTP方式真正保护注册网址。恕我直言,任何拥有注册网址的人都可以成为一个正确的注册人。所以如果你问我,选项3比其他人好。