Защитите свой ключ API от кражи или злоупотребления

Question

Здравствуйте, поэтому я хотел бы спросить, каковы другие способы защиты вашего API от злоупотребления или DDOS'а от ваших завистливых врагов?

У меня есть этот простой веб-сайт, который использует Google API и некоторые другие. API доморощенного, который развернут в Heroku.

Моя первая идея состоит в том, чтобы просто никогда не вызывать API на внешнем интерфейсе, чтобы сервер веб-хоста сначала вызывал все и загружал данные с веб-страницы, делая так, чтобы при загрузке страницы не было никаких следов вашего API в пользовательском интерфейсе.

Но иногда, когда ваши веб-сайты содержат данные для автообновления, ваш API-интерфейс должен быть в пользовательском интерфейсе. В сценарии ios, таких как эти, какие другие «про» меры я могу предпринять, чтобы защитить свой API.

Я слышал, что есть способы, которые включают OAuth и SSL? как они в основном работают?

Мой API развернут в Heroku и создан с использованием библиотеки Node.Js express.

Answer 1

Хорошо API, которые находятся в переднем конце, могут и будут украдены, это только вопрос того, когда. Это природа API. Даже API в приложении можно получить, прочитав его сборку.

Что вы можете сделать, это ограничить то, что пользователь может сделать с вашим API на стороне сервера, либо установить таймаут, как быстро это конкретное устройство c вызывает ваш API, а затем просто заблокировать IP-адрес использования в течение дня или около того.

Обойти это невозможно, вся отрасль должна измениться, чтобы вы могли полностью скрыть API.