防止RESTful JSON Web服务上的垃圾邮件

时间:2011-08-29 09:02:14

标签: web-services security rest

我有一个用grails实现的web服务来处理来自GWT客户端的POST。如果用户登录,他也可以通过浏览器访问没有GWT的Web服务。

现在我的问题是如何以一种不可能通过例如垃圾邮件发送我的网络服务来保护它的方式。 1000个新条目只是通过压缩我的webservice具有特定的帖子(可能是一个循环)登录?

对于Android客户端也是如此,或者如果我将其他开发人员授予我的网络服务,他们可以将数千个数据发布到我的网络服务中。

我可以使用一种机制吗?

感谢您的帮助

1 个答案:

答案 0 :(得分:1)

此REST API的用户需要绑定到API密钥。 cryptographic nonce通常是首选工具。为了发布该密钥,应该要求用户解决验证码。每个API密钥应限制为特定数量的请求。如果用户发送了许多请求,那么您应该使用验证码提示它们(这可能是对REST请求的错误响应)。

但是为了强制执行此规则,您必须在每个客户端上保持服务器端状态,因此不会是RESTful。简而言之,您所要求的不仅仅是REST。