Sto lavorando a un'applicazione che fondamentalmente corrisponde (IRL) a due tipi di persone. Sul lato client, il frontend è un'applicazione a singola pagina con un flusso simile a questo:
Dettagli - > Accedi - > Selezione carta di credito - > Recensione - (chiamata API) - > Conferma
Tra le altre cose, la chiamata API sul backend attiva un'azione come "Invia un SMS a tutti quelli che corrispondono a questi criteri".
Al momento, l'autenticazione per la chiamata API viene effettuata con un'intestazione "Autorizzazione" (su https). Dato che stiamo per crescere e ricevere più chiamate traffico / API, sono preoccupato per la sicurezza della mia applicazione.
Fondamentalmente, qualcuno potrebbe entrare nel sito web, e fare il flusso tutte le volte che vuole, scatenerebbe poi un mucchio di testi indesiderati inviati e azioni intraprese, che sarebbero disastrose per la mia attività. La mia ipotesi è che potrebbe non essere probabile che accada perché chiedo una carta di credito valida prima dell'ultimo passaggio. Ma, dato che non viene effettuato alcun addebito su di esso (durante questo specifico processo), nulla potrebbe impedirgli di fare confusione.
Quindi vorrei sapere se esistono buone pratiche per evitare questo tipo di frode (o sono troppo paranoico?). Felice di chiarire se alcuni punti non sono chiari.