Как подключить определенный URL-адрес API только к одному мобильному приложению
У меня есть API и система регистрации пользователей.
API используется мобильным приложением. (Большинство URL-адресов не разрешены для анонимных пользователей. Ключ токена используется для всех. Исключая URL-адрес регистрации. )
И адрес регистрации должен быть открыт. Я имею в виду, что URL-адрес не имеет токена для авторизации. Потому что нет авторизованного пользователя. Это уровень регистра.
Конечно, адрес регистрации открыт для атаки. Как мы можем предотвратить эту ситуацию?
Но ключ API открыт в APK? Ключ API открыт для просмотра в коде с помощью реверс-инжиниринга. Я имею в виду, что APK кодировать. Все еще не фактическая решимость.
от чего именно пытаются защитить регистровый маршрут?
Ключ API — довольно распространенный метод, используемый многими приложениями на разных платформах для ограничения использования API. Это не является надежным, но предотвращает случайное использование URL-адреса без особых усилий для получения ключа. Одна из опций в APK, в частности, заключается в том, что вы можете запутать свой код и строки данных, чтобы было сложнее определить правильное значение. Для этого есть инструменты. P.S. Какого именно риска вы боитесь? Какую атаку вы предвидите и хотите предотвратить? URL-адрес, просто не защищенный токеном аутентификации, сам по себе не является уязвимостью, если URL-адрес логически не требует его.
Моя система открыта для атаки по созданию пользователей спамом. Я должен предотвратить эту ситуацию. @моламк
Зачем мне голосовать? Я нашел ответ, который решил мою проблему, и мой вопрос так ясен для понимания.
![Безумие обратных вызовов в javascript [JS]](https://i.imgur.com/WsjO6zJb.png)
Ответы 1
У вас есть много вариантов в зависимости от вашего модель угроз и того, от чего вы пытаетесь защитить свою конечную точку. Вот некоторые из них:
- Методы ограничения скорости, чтобы предотвратить перегрузку конечной точки аномальным количеством запросов. Например, вы можете указать адрес подсчитать количество запросов, поступающих с определенного IP во временном окне, и если он превышает определенный порог, вы блокируете этот IP-адрес.
- reCAPTCHA также может быть полезен. Вы можете спросить, что все запросы к
/registerимеют токен, полученный после решения капча. Очень распространенная техника против спама - черный список IP-адресов. Например, IP-адреса, исходящие от ТОР-сеть может быть заблокирован, поскольку все узлы являются общедоступными. Вы также можете включить произвольные IP-адреса, которые могут показаться подозрительными в зависимости от вашего контекста.
- Пользовательский агент черный список. Это может помочь, если вы хотите ограничить активность Веб-скрапинг. Например, вы можете разрешить только определенный набор пользовательские агенты из основных веб-браузеров.
reCAPTCHA очень полезна для меня. Большое спасибо !
@ŞerefCanMuştu С удовольствием! Вот ссылка на их документы. Удачи
вы можете использовать ключ API (скорее пользовательский токен) и не раскрывать его, кроме как мобильному приложению. И, конечно же, используйте HTTPS, чтобы никто не мог перехватить ключ, наблюдая за вашим трафиком.