Я работаю над созданием ФОРМЫ (своего рода опроса) для получения пользовательского ввода, любой пользователь , посетивший веб-сайт, может предоставить мне информацию. Это означает, что API на самом деле является общедоступным c доступным для всех без какого-либо токена или сеанса (в основном ничего)
Я хочу запретить людям получать мою конечную точку и создавать тысячи / миллионы запросов (СПАМ) залить мой сервис и базу данных . Я пытался просмотреть Stackoverflow и некоторые посты в среде, интересно, что я не нахожу много об этом.
Некоторые говорили:
- связать мой сайт как гибридное приложение, предоставить accessToken только «доверенному устройству» для запуска моего API (но это чисто веб-приложение)
- создание настраиваемого заголовка и определение заголовка с моего веб-сервера (хмм ..?)
- использование CAPTCHA (это только остановит людей, рассылающих спам через GUI, но рассылка спама по-прежнему возможна)
Разве это не лучший способ обезопасить себя, поскольку он опубликован c? Есть какие-нибудь мысли, чтобы поделиться?