我现在正在做一个Fullstack Web项目,现在正在研究API安全性。我已经实现了用户登录,然后允许客户端访问我的API的大多数路由。但是也有不受保护的路由,这些路由可以而且必须在没有登录的情况下访问(例如,注册,登录等)。
例如,一条路由返回特定的用户名或电子邮件地址是否已被另一用户使用,并在注册过程中使用。对于怀有恶意的人,这种公共路线将有助于找出哪些电子邮件地址或用户名试图破解或猜测其密码,因为它们可以避免使用未使用的凭据。
我知道大公司经常使用此功能来向用户显示他是否可以使用所需的用户名。他们如何确保没有虐待?我该如何保护我的API和用户呢?
我将不胜感激。非常感谢!
答案 0 :(得分:0)
限制API滥用率限制是一种好习惯。一种方法是为每个IP地址指定API请求的最大数量,然后忽略请求。
可以找到here,其中有一篇很好的文章描述了解决方案,并显示了在NodeJS中实现的示例。
感谢吉尔伯特·勒布朗(Gilbert Le Blanc)在此方面的帮助。