Защищенные конечные точки API

Question

Я создаю API, который возвращает QR-код.

Конечная точка API должна получить следующее: email, client_id & client_secret.

Мой API должен проверить идентификатор клиента и секрет затем шифрует электронную почту (и другие данные), а затем создает QR-код из зашифрованного токена.

Как я могу защитить этот API, чтобы злоумышленник не смог отправить мне поддельное электронное письмо?

Я пытаюсь понять, как OAuth-запросы защищены от MIT-атак. Когда я читаю об этом, мне кажется, что моему серверу нужно отправить запрос https поставщику OAuth, включая эти данные.

Мне трудно понять, как злоумышленник не увидит Идентификатор клиента и секрет (даже если запрос сделан через потребительский сервер).

Надеемся на помощь, спасибо!

Answer 1

как OAuth-запросы защищены от митм-атак.

Для защиты от MITM-атак при использовании OAuth2 необходимо использовать соединение TLS (https).

Как я могу защитить этот API, чтобы злоумышленник не смог отправить мне фальшивое электронное письмо?

Чтобы избежать фальшивого электронного письма , вам необходимо подтвердить адрес, например, отправив письмо с одноразовым кодом , с которым пользователю необходимо взаимодействовать. Например, OpenID Connect , стандарт аутентификации на основе OAuth2 содержит специальную заявку , сообщающую, подтверждена ли электронная почта или нет.

OpenID Connect уже определяет дополнительные утверждения сообщить RP статус проверки номера телефона и претензий по электронной почте.