Можно ли предотвратить массовые запросы в RESTful API?

Question

Я хотел бы попросить, если это возможно, запретить пользователям BAD делать много запросов к моему веб-API RESTful. Вот моя ситуация:

Мое клиентское приложение делает запрос к веб-API. Этот запрос состоит из EAN-кода продукта. Сервер отвечает параметрами продукта и другой информацией о продукте. Теперь я пытаюсь предотвратить то, что мой конкурент (пользователь BAD) украл драгоценные данные, которые мне нужно было собрать вручную. Проблема в том, что пользователь BAD имеет список всех кодов EAN и может выполнять автоматические запросы для получения всех данных из моего API.

Answer 1

Отрегулируйте их, чтобы они могли запрашивать только x раз на ip / в минуту ... возможно, с помощью токена аутентификации или ключа API, для которого конечным пользователям пришлось бы регистрироваться. Или вы можете просто занести их IP в черный список, если вы их знаете.

Answer 2

Заставьте пользователей API регистрироваться и раздавать ключи API всем.ключ может быть частью URL, если хотите.Таким образом, вы можете отслеживать, какие пользователи чем занимаются, и иметь ограничения на использование, если хотите.

Answer 3

Конечно, вам нужно применить безопасность к своим API.Не разрешайте анонимный доступ к вашим ресурсам или API и убедитесь, что только ваши «хорошие» клиенты имеют разрешение на их вызов.Обычная аутентификация HTTPS наряду с шифрованием SSL на транспортном уровне может помочь, или они зададут секретный ключ клиента как часть запроса.