javascript:如何防止滥用公共api

Question

我允许用户登录到我的网站在一次密码发送到用户的手机号码的基础上。

我的问题是，我正在使用jquery ajax进行Api调用，以便将otp发送到用户的手机号码。现在任何人都可以看到api调用，并向我的服务器发出无限的api请求，这将立即使我的sms包过期。

如何避免滥用API调用？

Answer 1

应该对服务器的API请求进行身份验证。我在说服务器在你的控制之下。

一种想法是使用JWT => https://jwt.io/。

当然，在您的服务器上使用HTTPS。

Answer 2

Rails已经有了CSRF protection。您需要为AJAX请求启用它们。启用它们后，没有人可以在没有CSRF令牌的情况下重复您的AJAX调用，CSRF令牌会为每个web请求重新生成。

其他选项包括使用rack-attack对来自同一IP的接口请求进行速率限制。

Answer 3

提供一些身份验证机制应该是可行的。这样，任何试图访问你的API的人都必须登录。将身份验证令牌存储在会话中，并在服务器端进行验证。还有其他一些技术，比如使用API密钥/密钥。请查看以下链接：https://stormpath.com/blog/secure-your-rest-api-right-way/