Ich arbeite an einer Browsererweiterung, die (GET und POST) Daten mit meinem MEAN Server (-> node.js) austauschen soll. Ich habe mich gefragt, wie ich die serverseitigen API-Routen sichern kann, um DDOS-Angriffe und ähnliche Bedrohungen zu vermeiden, die durch das Umgehen meiner Erweiterung und das direkte Senden/Anfordern von Daten durch bösartige Software/Server/Personen entstehen.Browser Extension: wie sichere API Aufrufe
ich mehrere Token zu verwenden beabsichtigt, die in jedem Anruf enthalten sein muß (GET/POST über HTTPS-Verbindung):
statische Dehnung ID hash die unsichtbar in meiner Verlängerung hartcodiert wird und wissen aufgelistet auf der Serverseite, wie ext_id: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
die Menge der Anfrage pro Benutzer/Verlängerung in einem gegebenen Zeitraum
gehashten Begrenzungs und gesalzene Benutzerdaten (vom Benutzer über ein Eingabefeld innerhalb der Erweiterung Präferenzen und lokal gespeichert), wie beispielsweise Benutzername: e3b0c44298fc1c149 [...], Passwort: da39a3ee5e6b4b0d3255bfe [...]
Ich habe gehofft, für einige Eingaben und konstruktive Kritik von erfahrenen Experten in diesem Bereich, um diesen Ansatz zu bestätigen oder zu verbessern oder vielleicht sogar vernünftige Alternativen vorzuschlagen.
Diese Frage wird möglicherweise ausführlich auf dem [Information Security StackExchange] (http://security.stackexchange.com/) beantwortet. Wenn Sie eine solche Frage dort stellen, lassen Sie in dieser Frage zumindest einen Link dazu. – Makyen
Ok, danke für den Hinweis. –