Ich baue gerade eine API mit OAuth 2.0 für die Authentifizierung.REST-API schützt nicht authorisierte Routen, z. Registrieren, Passwort zurücksetzen
Ich habe arbeiten Auth auf allen meinen geschützten Routen, aber ich bin besorgt über die ungeschützten Routen wie /register
und /password/email
, diese nicht auth erfordern, so gibt es nichts (außer etwas Drosselung Middleware) Menschen zu stoppen Anfragen von nicht vertrauenswürdigen Clients senden.
Was ist die beste Vorgehensweise, um dies zu unterstützen?
Was meinst du mit Anwendungstoken? Das CSRF-Token? –
Ja, überprüfen Sie diese Antwort https://StackOverflow.com/a/33829607/6329802 – aaron0207
Ok, ich bin mir bewusst, was CSRF ist, aber das würde bedeuten, dass beide Apps die gleiche Verschlüsselung verwenden? –