繁体 English 中英

保护苗条的3，RESTful API

[英]securing slim 3, RESTful API

原文 2017-08-21 23:34:05 4 1 php/ api/ security/ ddos/ slim-3

我知道如何实现基于令牌的身份验证。 但我担心的是针对攻击机器人的用户操作，例如注册，登录或验证。 我可以想象一个机器人通过伪造的电话号码发出请求，而我的SMS或邮件服务器将全部响应！ 或成千上万的注册用户位于数据库的用户表中，这些用户是伪造的且未经验证。 我知道一些防火墙策略可以阻止网络层中的此类攻击和流量。 但是可以用验证码或其他方法来保护“未经身份验证”的HTTP操作吗？

如果是，如何将验证码图像从API服务器发送到客户端？ 在RAW中？ 如果可以发送验证码，那么如何找到哪个客户端的验证码？ 会议有帮助吗？

感谢您的关注。

1 个解决方案

您可以实施某种形式的CSRF（跨站点请求伪造）陷阱来避免这种情况。 我结合使用CSRF和honeypot字段。 这是基本的概要：

服务器通过一个隐藏类型的输入标签填充一个字段，该标签包含一个动态设置的值并作为会话变量存储在服务器上。
该表单还包含一个使用CSS隐藏的文本字段（type =“ text”或textarea）。
发布表单后，隐藏值（CSRF）令牌必须与保存的会话版本匹配，并且
honeypot字段必须为空。

如果测试失败，我会回复401或404

Reg僵尸程序通常会填充蜜罐字段，其中一些很聪明，可以规避CSRF-我记录所有未通过这些测试的尝试，并捕获了很多僵尸程序尝试。

保护REST API和Slim框架

[英]Securing a REST API and Slim Framework

苗条的宁静API的安全性问题

[英]Security concerns of a slim restful api

保护无会话的RESTful API端点

[英]Securing a session-less RESTful API endpoint

带有Slim框架和MSSQL数据库的Restful API

[英]Restful API's with Slim framework and MSSQL database

使用 SLIM 和 SWAGGER 的 RESTful API 文档？

[英]RESTful API Doc using SLIM and SWAGGER?

使用RESTful服务保护跨域的API调用

[英]Securing API calls from cross domain using RESTful service

未捕获的异常我们使用Slim Framework运行Restful API

[英]Uncaught exception we running restful API using Slim Framework

PHP Slim RESTful API-两表联接嵌套JSON

[英]PHP Slim RESTful API - Two Table Join Nested JSON

如果数组包含数组，则使用Slim php的Restful API返回空

[英]Restful api using Slim php returns empty if array contains arrays

在流明中保护 API

[英]Securing API in lumen

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 保护REST API和Slim框架苗条的宁静API的安全性问题保护无会话的RESTful API端点带有Slim框架和MSSQL数据库的Restful API 使用 SLIM 和 SWAGGER 的 RESTful API 文档？使用RESTful服务保护跨域的API调用未捕获的异常我们使用Slim Framework运行Restful API PHP Slim RESTful API-两表联接嵌套JSON 如果数组包含数组，则使用Slim php的Restful API返回空在流明中保护 API

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM