Задать вопрос
Labutin
@Labutin
Web-разработчик
веб-разработка

Как максимально усложнить нежелательные вызовы REST API?

Представим, что есть сервис.
Веб морда очень простая - ввод параметров (2-3 параметра) и кнопка submit. Идет AJAX запрос на сервер и в ответ JSON с результатами расчетов.
Веб морда ценности не представляет. Самое интересное - это способ расчетов на сервере.
При таком подходе легко написать клон морды и дергать готовый чужой REST API и выдавать сервис за свой.
Собственно вопрос - как усложнить жизнь вот таким плагиаторам?
  • Вопрос задан
  • 217 просмотров
1 комментарий
Подписаться 3 Оценить 1 комментарий
Пригласить эксперта
Ответы на вопрос 6
mainameiz
@mainameiz
Full-stack web-developer
Ну очевидно же что любыми способами, которыми защищаются от ботов, т.е. капчей например
Ответ написан
Комментировать
Комментировать
@jaymecd
JaymecD
Капча на API не поможет не очень помогут. Токены вам в помощь, посмотрите Json Web Tokens.
Ответ написан
Комментировать
Комментировать
lam0x86
@lam0x86
Почему бы не проверять HTTP referer?
Ответ написан
2 комментария
2 комментария
RussellKvashnin
@RussellKvashnin
WEB-developer
Есть золотое правило системного администрирования:
"Запрещено все то, что не разрешено".
Думаю намек понят.
Ответ написан
Комментировать
Комментировать
suguby
@suguby
программист, python, django, mysql, git, hg, linux
На морду отдавать сгенеренную куку и некий сгенеренный параметр. Требовать от морды возврата и куки и параметра формы. А у себя хранить параметр, отданный на эту форму для этой куки и проверять что пришло с формы. Параметр и кука - абсолютно не связанные хэши. Ктт.
Ответ написан
Комментировать
Комментировать
@aleksey_k
То, о чем вы пишете, очень похоже на CSRF. Есть несколько методов защиты от этого, в интернете есть примеры. Самый простой - проверка Referrer, чуть сложнее - генерировать CSRF-токен, который будет передаваться вместе с формой, и который будет знать сервер. Если форма фейлится при проверке этого токена - значит кто-то обманывает.
Если же используете AJAX - там нужно будет использовать одноразовый токен, который будет обновляться при ответе с сервера.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Веб-разработчик
Искра Екатеринбург
от 80 000 до 100 000 ₽
Веб-разработчик
Art gorka Санкт-Петербург
от 60 000 ₽
Веб-разработка и управление IT в Sortage
Sortage Москва
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
SMM для HR
23 апр. 2024, в 08:58
15000 руб./за проект
[python] протестировать function calling у gpt-4 и у claude 3 opus
23 апр. 2024, в 08:50
200 руб./за проект
Разработка кроссплатформенного приложения
23 апр. 2024, в 08:42
60 руб./за проект
Ещё заказы