如何平衡REST api和Openedness以防止数据窃取

Question

我们的一个网站是一个常见的“免费公布你的公寓”。收入与公开使用和公告注册的数量直接相关(我们营销部门的论点)。

另一方面，REST要求在设计api时保持清晰的api (我们软件部门的论点)，这是对任何竞争对手的数据窃取邀请。在这个视图中，web服务器几乎变成了一个智能数据库。

我们清楚地认识到了我们的问题，但不知道如何解决这些限制。有什么建议会有帮助吗？

Answer 1

通过IP将对数据丰富元素的调用限制为每天1000次(或普通用户使用的三倍)

如果你暴露了数据，那么它就可能被窃取。考虑一下返回大型数据集的搜索元素，即使它们是由javascript或表单引起的-我个人编写了一些拖网工具来绕过这些问题。

您可能还会考虑(如果数据那么重要)在客户端根据从服务器发送的密钥和身份验证对其进行解密(但这只会提高门槛，而不是提高窃取的能力)。

为扫描过快或过多的用户添加captcha/re-captcha。

简而言之：

攻击面minimisation)

• Log和
• 强制登录通常只公开最低限度的API来完成此工作(？)。对于您认为可能是拖网data

的机器人用户，这至少可能会推迟使用capthca机制的某些扫描仪