【发布时间】:2014-11-07 17:11:53
【问题描述】:
我不确定最佳做法或如何解决此问题。我有一个需要访问令牌的 API。此令牌是在用户登录时通过 oauth 提供的。当新用户显然没有/无法接收访问令牌时,如何保护 API 但允许新用户创建帐户。
【问题讨论】:
-
API 不应要求注册调用的令牌。注册和登录调用是 API 其余部分的入口点,不可能需要令牌。
-
@Dima 谢谢。那么保护该功能使其不被滥用的最佳方法是什么?
-
这是一个非常开放的问题。您可以做很多事情,但我想这取决于您实际上要保护的是什么。您当然可以对客户端进行速率限制,以防止对帐户的暴力攻击,但除此之外,您还期待什么样的问题?
-
我只是想知道最佳实践是什么。速率限制似乎是个好主意。不期待任何问题,只是为最坏的情况做准备:) 如果您想将您的第一条评论作为答案,我会将其标记为正确。
标签: ios ruby-on-rails api security