私は、ユーザーの認証を行うシンプルなWebアプリケーションを持っています。それは2つのフィールドusername
,password
+ csrf token
を必要とする単純なので、httpsで動作しています。CSRFトークンのない認証
ここでは、指定したユーザー名とパスワードを持つユーザーが存在するかどうかを検証する簡単なAPIを実装しました。 jquery.post()
メソッドと同じドメイン上でhttpsを使用して呼び出されますが、私はusername
とpassword
しか提供しません。
私のAPIは「is-registered」の瞬間に1つの機能しか持っていないと思うので、何か心配する必要はありますか?もちろんブルートフォースを除いて。