2016-11-30 2 views
0

У меня есть веб-сайт, который расходует остальные API, выставленные на веб-сервере. Это сайт-контент и бесплатно для публики. Таким образом, любой может читать содержимое, проводя на нем (которые в фоновом режиме используют разные REST API). В то же время я беспокоюсь, что кто-то может выяснить мои возможности от инструментов разработчика в браузере и назвать их (миллионы раз), чтобы отключить мой сервер. Мне нужно защитить мой REST apis, за исключением браузеров. Как мне это сделать?Защита REST API

+0

Если у вас нет механизма 'CORS', вы должны быть хорошими, но ... – Hackerman

+0

Используйте прокси-сервер HTTP перед службой REST. Это можно использовать для кэширования ответов. –

+0

Это не серебряная пуля, но как насчет использования https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project и проверьте свой сайт на наличие красных и желтых флагов? – Hackerman

ответ

0

Мне нравится видеть проблему, отделенную от вашего REST api. Ваш api - это сервис, поверх которого вы захотите создать некоторую систему безопасности. Поэтому безопасность на самом деле не влияет на дизайн вашего api.

Одна из тривиальных задач - управление входными потоками. Существуют шаблоны, связанные с атаками DOS или DDOS, которые можно распознать для проведения противодействия. Это то, что делают Intrusion Prevention Systems (IPS).

Пожалуйста, посмотрите here и, если вас больше интересует что-то более глубокое, here.

Если ваши запросы не аутентифицированы (т. Е. Ваш apis является общедоступным), я думаю, вы больше ничего не можете сделать.