Как обеспечить безопасность для API?

Question

[Jedi]

Доброе утро!

Написали мобильное приложение, которое будет взаимодействовать с нашим сервером.

Сервер - он достаточно простой. Она принимает JSON и отвечает.

Есть один нюансик... Если какой-то умник найдет адрес сервера, то он легко сможет отправлять через curl запросы к нашему серверу. Так как API простенький, она будет выполнять эти запросы, если конечно они будут валидными.

Как можно обеспечить безопасность для сервера?
Слышал о JWT. Это ли решение?

Немного о API.

Она написана на Koa. Она регистрирует пользователей, изменят какие-то их данные и выполняет разные другие операции по типу CRUD.

Это новый опыт для меня).

Заранее большое спасибо!

Answer 1

[Алексей]

Так как API простенький, она будет выполнять эти запросы, если конечно они будут валидными.

Дак этим апи и должен заниматься. Безопасность то в чем пострадает ? Если боитесь наплыва запросов, ставьте ограничение на токен или с помощью чего-то вроде https://github.com/koajs/ratelimit

Comments

[Jedi]

Алексей, я хочу чтобы сервер игнорировал все запросы поступающие к нему не из клиентского приложения.

[Алексей]

PHPjedi, ну шифруйте тогда все запросы, только если это веб приложение, а точнее http[s], то довольно бессмысленно, так как затраты на обработку расшифровки, для принятия решения о необходимости игнорировать, будут значительно больше. Кароче, я бы посоветовал не заморачиваться с тем, откуда был запрос, главное чтобы он был валидным. Если у вас "клиентское приложение" это просто сайт по типу СПА на вью, то это не приложение.

[Jedi]

Алексей, Нет, это не сайт. Это есть приложение). Думаю тогда JWT + HTTPS использовать.

Answer 2

[marataziat]

От такого нету защиты. Только если CSRF который затрудняет такое, либо каптча. https://www.owasp.org/index.php/REST_Security_Chea...