私はいくつかの休憩サービス(ジャージー)を提供するWebアプリケーションを持っています。ほとんどのエンドポイントはBASICの認証によって保護されています。さらに私は、すべての呼び出しに対して、転送と要求のPOSTにSSLを使用します。 クライアント/コンシューマーはアンドロイドアプリです。ユーザー認証前の安全な休憩サービス
これまでのところとても良いです。脆弱であると思われる唯一のサービスは登録です。これは「最初の」サービスであり、ユーザーはまだ存在しません。だから私はOAuthなどを使うことはできません。エンドポイントをユーザーが容易にアクセスできるようにしなければなりません。
このサービスを保護するにはどうすればよいですか?私のデータベースを氾濫させるボットによってスパムされないのですか?
クライアントは既知のユーザーグループですか?それとも誰か外から来たの? – aksappy
アプリをダウンロードした人だけ...少なくとも私が望むものは。残りのサービスはインターネット経由でアクセスできます。それは他のクライアントにもなる可能性があります... –