我正在为我参与的项目开发API .API将由
Android应用程序,iOS应用程序和桌面网站使用.几乎所有API都只能由注册用户访问. API允许通过WSSE进行身份验证,这对于移动应用程序非常有用,但对于网站来说并不是那么好.但是,我正在使用Symfony2开发API,并且我已将其配置为允许通过WSSE和/或会话/ cookie身份验证(具有共同安全上下文的多个防火墙,如果您感兴趣)访问API.

使用像这样的API优先方法,我担心被滥用的东西.以我的注册方法为例.我只希望它被应用程序或网站使用.然而,没有什么可以阻止某人编写一个简单的脚本来伪造API与伪造的注册.然后是对CSRF的担忧.由于登录用户可以访问API,因此存在可以利用此API的风险.

我不希望API公开,但我不知道这是否可能,因为它将被网站使用.我可以做些什么来消除(或减少)风险和漏洞风险？

亲切的问候.

最佳答案 对于注册暴力问题,您可以为API调用启用“速率限制”.

由于RateLimitBundle,blog post引入了这个概念以及如何在Symfony2应用程序中使用它.