Как защитить публичные конечные точки без аутентификации и метода авторизации

Как предотвратить использование общедоступных конечных точек вне контекста веб-приложения?

У меня есть веб-приложение, разработанное в ReactJS, и оно использует публичный API, разработанный на C # с Net Core 2.0. Некоторые конечные точки являются общедоступными, это означает, что эти конечные точки не используют какой-либо метод аутентификации или авторизации. Итак, как я могу защитить эти общедоступные конечные точки, чтобы предотвратить их использование вне контекста моего веб-приложения, например, не использовать конечные точки, например, для Postman, и предотвратить атаку со стороны бота.

Cors могут: источник -> «», заголовки -> «» и методы -> «*». Приложение может использоваться из любой части мира.

Партнер сказал мне сумасшедшую идею, когда общедоступная конечная точка используется, независимо от того, как или что, от конечной точки перенаправления на веб-страницу с капчей, и конечная точка ожидает, пока капча будет успешно, а затем она продолжится с транзакцией.

1
задан Charlie 26 June 2019 в 23:59
поделиться

1 ответ

Если общедоступный API не использует аутентификации и авторизации, Вы неспособны управлять ее использованием (кроме подобных брандмауэру функций как диапазоны IP).

перенаправление Капчи А действительно не поможет Вам: Вы теряете возможность беспрепятственно использовать API в Вашем приложении: С простым нажимают на "developer tools" в браузере, все в состоянии назвать его в байте для байта идентичным путем как тогда, когда используется из Вашего приложения.

, Скорее всего, самое легкое решение состоит в том, чтобы создать своего рода auth& автор: Преследование решения для неразрешимой проблемы обеспечения чего-то, что по определению не защищается, будет стоить Вам большого количества времени руды, головных болей и дыр в системе безопасности, чем просто делать правильно его.

3
ответ дан Eugen Rieck 26 June 2019 в 23:59
поделиться
Другие вопросы по тегам:

Похожие вопросы: