【发布时间】:2014-01-17 21:50:15
【问题描述】:
我正在为我参与的项目开发 API。该 API 将被 Android 应用、iOS 应用和桌面网站使用。几乎所有的 API 都只能由注册用户访问。 API 允许通过 WSSE 进行身份验证,这对移动应用程序来说非常有用,但对网站来说却不是那么好。但是,我正在使用 Symfony2 开发 API,并且我已将其配置为允许通过 WSSE 和/或会话/cookie 身份验证访问 API(如果您有兴趣,可以使用具有公共安全上下文的多个防火墙)。
使用这样的 API 优先方法,我担心事情会被滥用。以我的注册方式为例。我只希望它被应用程序或网站使用。但是,没有什么可以阻止有人编写一个简单的脚本来用虚假注册来敲击 API。然后是对 CSRF 的担忧。由于该 API 可以由登录用户访问,因此存在被利用的风险。
我不希望 API 公开,但我不知道这是否可能,因为它会被网站使用。我能做些什么来消除(或减少)风险和漏洞暴露?
亲切的问候。
【问题讨论】:
标签: symfony csrf restful-architecture