Как защитить свое api?

Question

[dev400]

К примеру есть некое внешнее api, которое сохраняет данные. Сначала авторизация с клиента по login+pass, потом клиент работает с ним отправляя полученный токен. Как защитить такое api от злоумышленника? Ему же ничего не мешает деобфусцировать пару файликов, скопировать login и pass, и работать с ним со своего сервера. Как такого избежать? Привязки по ип + домен? Их же легко подменить.

Answer 1

[xmoonlight]

Проверяйте обратную DNS-запись хоста (сервер с доменным именем в роли клиента) при процессе авторизации: что запрос пришёл от одного из ожидаемых серверов.
Если такое "API" идёт по схеме: сервер1 <=> клиент <=> сервер2, тогда - никак.

Answer 2

[Rou1997]

Собственно, вы описали стандартный механизм авторизации, но:

скопировать login и pass

Откуда он их возьмет, если они есть только у клиентов? Или он среди клиентов окажется? Тогда во-первых перестаньте называть его злоумышленником, потому что еще не факт, что он будет спамить и т.п., во-вторых, пока нет зла то и проблемы нет - займитесь более актуальными аспектами, в-третьих если не жалко тратить время - то можно усложнить сам процесс авторизации, использовать HTTPS с HSTS, а еще лучше свой протокол, если клиент в браузере то WebSocket или смотрите в сторону Flash, а если не в браузере то вовсе TCP+SSL или UDP, это повысит требуемую квалификацию "злоумышленников" и сократит их популяцию, но я все равно взломаю если надо будет, хоть на чистом IPv4 делайте, а за "злоумышленника" вы у меня отдельно получите! :)