我目前正在一个iPhone/Android项目上工作,移动端通过REST API调用与Java后端服务器通信。
Java后端使用Spring和其认证系统实现(带有JSESSION ID令牌)。
虽然我不是安全方面的专家,但我能看到如果没有正确实施可能会出现很多问题。
我的最大担忧之一就是用户创建。例如,当应用程序创建用户时,它只需向(url.com/rest/create)发出POST请求即可。
如何在服务器端避免恶意用户将此URL放入循环中并创建数千个用户?
保障API调用的常规最佳实践是什么?Spring认证令牌是否足够?
谢谢!
防止客户端向服务器发出大量请求并不是一件容易的事情。恶意用户可以创建脚本或应用程序向您的服务器发送请求。
解决方案是对服务器调用进行身份验证和授权。您可以赋予某些用户(例如管理员)创建用户的特权,并信任这些用户以正确的方式行事。在调用服务器上的API之前,您要求用户进行身份验证。然后,在服务器端,您检查用户是谁以及他/她被允许做什么。
如果您仍然担心有特权用户不会表现得很好,您可以为每个用户分配配额以限制他们可以执行的操作。
高科技解决方案(尽可能多地使用框架功能)应该是:
然后,您可以使用该表达式保护您的方法(或URL)(@PreAuthorize("createsNotExeced(10, 20)"))
但这是一种高科技解决方案 - 当您想学习Spring安全性时,实现它会非常有趣。(您还需要添加一些缓存,但这也是Spring的一个功能。)
