保护非认证的REST API

The Yii 2.0框架有一个内置的过滤器叫做yii\filters\RateLimiter，它实现了基于漏桶算法的速率限制算法。它将允许您在一定时间间隔内限制接受的最大请求数。例如，您可以将登录和注册端点限制为在10分钟时间间隔内最多接受100个API调用。当超过该限制时，将抛出yii\web\TooManyRequestsHttpException异常（429 状态码）。
您可以在Yii2 RESTful API 相关文档或这个SO帖子中了解更多信息。

到目前为止，我自己还没有使用过它，但从我在官方文档中所读到的内容来看，我的意思是这样的：

请注意，RateLimiter 需要 $user 实现 yii\filters\RateLimitInterface。如果 $user 未设置或未实现 yii\filters\RateLimitInterface，则 RateLimiter 将不起作用。

我猜它被设计成只与已登录的用户一起使用，可能是通过使用与高级模板中引入的默认用户相关的数据库表。我不确定，但我知道它需要将允许的请求数量和相关时间戳存储到某个持久存储器中，在您需要在用户类中定义的saveAllowance方法中。因此，我认为您将不得不通过IP地址跟踪您的访客用户，就像@LajosArpad建议的那样，然后重新设计您的用户类以保存他们的身份，以便您可以启用它。
快速谷歌搜索让我找到了这个扩展：yii2-ip-ratelimiter，您也可以看一下。

您的URL将很容易被确定。您应该有一个IP地址的黑名单，当一个IP地址表现可疑时，只需将其添加到黑名单中。您可以定义什么是可疑的，但如果您不确定，可以从以下内容开始:

创建类似于此架构的数据库表：

ip_addresses(ip、is_suspicious、login_attempts、register_attempts)

其中is_suspicious表示已列入黑名单。login_attempts和register_attempts应为json值，显示该IP地址尝试登录/注册的历史记录。如果最近20次尝试没有成功且在一分钟内，则应将IP地址列入黑名单。列入黑名单的IP地址应该收到黑名单回复，无论请求类型如何。因此，如果他们拒绝您的服务或尝试入侵，您可以拒绝为他们提供服务。

使用sha1等算法来保护密码。该算法足够安全，并且比例如sha256之类的算法更快，而后者可能会过度消耗资源。如果您的API涉及银行账户或其他非常重要的事项，坏人可能使用服务器群来攻击它，则强制用户创建非常长的密码，包括数字、特殊字符、大写和小写字母。

请参考我的API模块。我通过访问令牌管理用户身份验证。当登录时，我会生成令牌，然后再次访问，客户端需要发送令牌，服务器将进行检查。 Yii2 Starter Kit lite

对于javascript，您应该使用OAuth 2.0 Implicit Grant流程，例如Google或Facebook。
登录和注册使用两个基本网页。不要忘记为它们添加验证码。
对于某些特殊客户端，例如移动应用程序或Web服务器：
如果您确定您的二进制文件是安全的，则可以为其创建自定义登录API。在此API中，您必须尝试验证客户端。
一个简单的解决方案，您可以参考：

• 使用加密算法，如AES或3DES来加密从客户端传输的密码，使用一个秘密密钥（只有客户端和服务器知道）
• 使用哈希算法，如sha256来哈希（用户名+客户端时间+另一个秘密密钥）。客户端将同时发送客户端时间和哈希字符串到服务器。如果客户端时间与服务器相差太大或哈希字符串不正确，服务器将拒绝请求。

例如：

api/login?user=user1&password=AES('password',$secret_key1)&time=1449570208&hash=sha256('user1'+'|'+'1449570208'+'|'+$secret_key2)

注意：无论如何，服务器都应该使用验证码来避免暴力攻击，不要相信任何其他过滤器。
关于REST API的验证码，我们可以基于令牌创建验证码。例如：
对于注册操作：您必须调用2个API
1. /getSignupToken：获取图像验证码URL和注册令牌。 2. /signup：发布注册数据（包括注册令牌和用户输入的验证码）。
对于登录操作：我们可以根据用户名的失败登录次数要求验证码。