Symfony ';API优先';安全最佳做法
我正在为我参与的一个项目开发一个API。该API将由Android应用程序、iOS应用程序和桌面网站使用。几乎所有的API都只有注册用户才能访问。该API允许通过WSSE进行身份验证,这对于移动应用程序来说非常好,但对于网站来说却不是那么好。但是,我正在使用Symfony2开发API,并且我已经将其配置为允许通过WSSE和/或会话/cookie身份验证(如果您感兴趣,可以使用具有公共安全上下文的多个防火墙)访问API 对于这样的API优先方法,我担心被滥用的东西。以我的注册方法为例。我只希望它被应用程序或网站使用。然而,没有什么可以阻止某人编写一个简单的脚本,用伪造的注册来敲打API。然后是对CSRF的关注。由于登录用户可以访问API,因此存在被利用的风险 我不希望API公开,但我不知道这是否可能,因为它将被网站使用。我能做些什么来消除(或减少)风险和漏洞暴露Symfony ';API优先';安全最佳做法,symfony,csrf,restful-architecture,Symfony,Csrf,Restful Architecture,我正在为我参与的一个项目开发一个API。该API将由Android应用程序、iOS应用程序和桌面网站使用。几乎所有的API都只有注册用户才能访问。该API允许通过WSSE进行身份验证,这对于移动应用程序来说非常好,但对于网站来说却不是那么好。但是,我正在使用Symfony2开发API,并且我已经将其配置为允许通过WSSE和/或会话/cookie身份验证(如果您感兴趣,可以使用具有公共安全上下文的多个防火墙)访问API 对于这样的API优先方法,我担心被滥用的东西。以我的注册方法为例。我只希望它被
问候。对于注册暴力问题,您可以为API调用启用“速率限制” 这将介绍此概念以及如何在Symfony2应用程序中使用它,这要归功于