“'API”安全最佳实践

Question

我正在为我所参与的一个项目开发一个API。该接口将由安卓应用程序、iOS应用程序和桌面网站使用。几乎所有的API都只对注册用户开放。API允许通过WSSE进行身份验证，这对移动应用程序来说很好，但对网站来说就不那么好了。但是，我正在使用Symfony2开发该应用程序接口，并且我已经将其配置为允许通过WSSE和/或会话/cookie身份验证(如果您感兴趣，可以使用具有公共安全上下文的多个防火墙)来访问该应用程序接口。

使用这种API优先的方法，我担心某些东西会被滥用。以我的注册方法为例。我只希望它被应用程序或网站使用。然而，没有什么能阻止人们编写一个简单的脚本，用虚假的注册来抨击API。然后是对CSRF的担忧。因为登录的用户可以访问API，所以存在被利用的风险。

我不希望API公开，但我不知道这是否可能，因为它将被网站使用。我能做些什么来消除(或减少)风险和漏洞暴露吗？

致以亲切的问候。

Answer 1

对于注册强制问题，你可以为你的API调用启用一个“速率限制”。

这篇blog post介绍了这个概念，以及如何在Symfony2应用程序中使用它，这要归功于RateLimitBundle。