Tôi sắp triển khai một API RESTful đến trang web của chúng tôi (dựa trên các dịch vụ dữ liệu WCF, nhưng điều đó có thể không quan trọng).Làm thế nào để bạn ngăn chặn các cuộc tấn công bạo lực trên các dịch vụ dữ liệu RESTful
Tất cả dữ liệu được cung cấp qua API này thuộc về một số người dùng máy chủ của tôi, vì vậy tôi cần đảm bảo chỉ những người dùng đó có quyền truy cập vào tài nguyên của tôi. Vì lý do này, tất cả các yêu cầu phải được thực hiện với một sự kết hợp đăng nhập/mật khẩu như là một phần của yêu cầu.
Cách tiếp cận được đề xuất để ngăn chặn các cuộc tấn công bạo lực trong trường hợp này là gì?
Tôi đã nghĩ đến việc đăng nhập các yêu cầu thất bại bị từ chối do thông tin đăng nhập sai và bỏ qua các yêu cầu bắt nguồn từ cùng một IP sau khi vượt ngưỡng yêu cầu không thành công nhất định. Đây có phải là cách tiếp cận tiêu chuẩn, hay tôi thiếu một cái gì đó quan trọng?
Hm, bạn muốn đặt CAPTCHA vào API RESTfull như thế nào? AFAIU tất cả các khách hàng không được coi là con người. – SergGr
Điểm tốt, tôi phải chớp mắt qua bit RESTful. Khôn lanh. – crazyscot
Hình ảnh xác thực là những gì tôi đang sử dụng ngay bây giờ cho trang web thông thường của mình. Nhưng như Iphone mới bắt đầu chỉ ra, đó không phải là một lựa chọn cho một api yên tĩnh. Tarpitting có thể là một ý tưởng tốt mặc dù. –