【问题标题】:Security in Django APIDjango API 中的安全性
【发布时间】:2019-12-29 14:17:10
【问题描述】:
我在没有身份验证或任何权限的情况下在 Django Rest FrameWork 中创建了注册 Api,我想在移动应用程序中使用它。
我的问题是这个api安全吗???
任何访问 SignUp Api Url 的人或机器人都可以不间断地创建帐户。是否有任何反机器人或其他东西???
【问题讨论】:
标签:
django
django-rest-framework
jwt
django-rest-auth
django-rest-framework-jwt
【解决方案1】:
您可以实施一项检查,该检查将只允许一个 IP 地址在特定时间进行注册,这样您的 API 就不会被暴力破解。
并实施 ReCaptcha
【解决方案2】:
如果您在没有任何类型的安全性的情况下实现 api。取决于您让用户使用 api 做什么,他们可以访问哪些端点。
是否有任何服务器端安全性?
您可以实现 Jason Web Token:simple JWT
您还可以检查 django 节流:Throttling
您还可以研究如何限制来自设备的 api 调用。