我正在为移动应用程序开发私有(private) API。我计划使用 JSON Web token 来保护和验证登录用户的安全。
当用户验证并登录服务时,服务器将在响应中返回签名的 JWT。设备安全地存储此信息,并在每个后续请求中将其作为 HTTP 授权 header 发送回。
到目前为止一切顺利。然而,我有点困惑的是: token 是在创建新用户的帐户(即注册)时为新用户生成的。此 API 端点(POST 创建)是开放的,并且没有 token 验证(当然,因为它是新用户)。
如何确保创建新用户的 POST 请求仅获得移动应用的授权?换句话说,如果恶意用户发送 POST 来创建垃圾邮件用户,我该如何识别?
API 通过 https 进行。不过,即使我要求应用程序使用 API key 作为查询参数,也会将其暴露在网络上。我想我可以传入一个带有哈希 API key / secret 的基本 header 。
有什么方法可以安全地做到这一点?
最佳答案
关于api - 如何保护私有(private)移动API的 'create new user'操作?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34802307/