我正在开发 2 个相关网站,分别是公共网站和 CMS。
目前我有一个用于注册的 api,它是 POST /users
它需要 3 个字段,分别是用户名、密码和权限。
有3个权限:
-超级管理员(拥有所有访问权限)
-编辑
-会员(只有查看权限)
这两个用户都可以登录 CMS。
在我的公共网站上,观众可以使用上面的api注册为会员。
例如。参数将是
{ username: 'ken', password: '12345678', permissions: 'member' }
如果一些黑客只是简单地打开 Postman 并发送带有以下参数的 api 请求会怎样
{ username: 'hacker', password: '12345678', permissions: 'superadmin' }
在这种情况下,黑客可以创建一个具有“超级管理员”权限的帐户,并可以访问我在 CMS 中的所有秘密数据。
处理这种 api 的最安全方式是什么?