Yii2 +无状态RESTful API +移动应用程序:当应用程序提供通过短信发送验证的选项时,如何防止滥用

时间:2016-07-21 16:09:31

标签: android ios angularjs rest yii2

我使用AngularJS / Ionic和使用Yii2的网站/ api构建了一个移动应用程序。在我的应用程序中,我希望用户可以选择通过短信请求验证码。

以下是应用流程:

  1. 用户在移动应用上注册
  2. API注册用户,生成包含验证码的欢迎电子邮件并返回访问令牌;访问令牌有效期为14天
  3. 用户可以通过短信
    4. 申请新代码
      

    我的API是无状态的,并实现了HTTPBearer和Basic身份验证以及速率   限制。目前,速率限制为10分钟内75次通话。

    所以,这是我的问题:

    1. 我是否可以限制对我的API的访问权限以仅允许我的移动应用程序进行的调用
    2. 可以采取哪些措施来防止滥用API并向随机电话号码发送短信?
    3. 如何验证输入的电话号码属于用户?

      4. 问题: 如果发现API端点并提供有效凭据,则可以将SMS消息发送到任何电话号码。此外,从应用程序,一个人可以输入任何电话号码,短信将尝试传递到该号码。

      我见过很多应用提供短信功能,但我不确定如何最好地接近它。

      我真的很感激你对此的看法。

      干杯, 麦克

0 个答案:

没有答案
相关问题
最新问题