REST-API schützt nicht authorisierte Routen, z. Registrieren, Passwort zurücksetzen

Ich baue gerade eine API mit OAuth 2.0 für die Authentifizierung.REST-API schützt nicht authorisierte Routen, z. Registrieren, Passwort zurücksetzen

Ich habe arbeiten Auth auf allen meinen geschützten Routen, aber ich bin besorgt über die ungeschützten Routen wie /register und /password/email, diese nicht auth erfordern, so gibt es nichts (außer etwas Drosselung Middleware) Menschen zu stoppen Anfragen von nicht vertrauenswürdigen Clients senden.

Was ist die beste Vorgehensweise, um dies zu unterstützen?

Quelle

2017-07-27 Mike F

Wenn Sie POST-Routen verwenden, wird das Anwendungstoken in jeder Anfrage benötigt, damit sie keine Anfrage senden können.

Quelle

2017-07-27 09:34:56 aaron0207

Was meinst du mit Anwendungstoken? Das CSRF-Token? –

Ja, überprüfen Sie diese Antwort https://StackOverflow.com/a/33829607/6329802 – aaron0207

Ok, ich bin mir bewusst, was CSRF ist, aber das würde bedeuten, dass beide Apps die gleiche Verschlüsselung verwenden? –

REST-API schützt nicht authorisierte Routen, z. Registrieren, Passwort zurücksetzen

Antwort

Verwandte Themen