Best practice per proteggere le API aperte dal furto di quote

2

So che appKey non è un mezzo per autenticare le applicazioni. Ma mi chiedo quali sono le migliori pratiche per evitare il furto di quote per le API aperte, che non sono associate a nessun account utente. L'API di Google Maps potrebbe essere un esempio di queste API. Includendo appKey all'interno dei client (applicazione browser, client mobili) rendili vulnerabili a appKey di furto.

Per il riferimento, ecco i consigli di Google: link

Potrebbe essere una valutazione errata, ma le credenziali del client OAuth 2.0 fluiscono con un server proxy adatto in tali scenari? Ci sono casi reali?

    
posta zeronone 18.07.2016 - 09:18
fonte

1 risposta

3

Se non riesci a configurare gli account utente o qualsiasi altro modo di identificazione, che è la procedura migliore per ogni API, ti rimane il seguente:

  • Raccolta di metriche del numero di richieste per IP, Sottorete, AS, Paese
  • Limitazione proporzionale all'utilizzo mentre si cerca il massimo sforzo per non compromettere gli utenti che non abusano del sistema e forniscono una quota sufficiente per la sottorete, AS, paese ecc. Questo perché senza l'identificazione dell'utente sarai sempre ingiusto quando cerchi di limitare dagli indirizzi di rete, poiché questo bit non identifica alcun utente.

Potrebbe essere necessario sapere quali sono i limiti, considerando il numero totale di richieste dal paese e anche dalle sottoreti dello stesso paese, lo stesso per AS, sottoreti, ecc. Questo per fornire il miglior servizio di qualità tenendo conto di queste metriche. Tuttavia questo è un metodo sbagliato.

ps. Dovresti davvero fare questo per account utente. Se l'account viene rubato, si inserisce la politica sugli account per evitare che si ripeta. Usa la crittografia e così via.

    
risposta data 18.07.2016 - 15:18
fonte

Leggi altre domande sui tag