Я создаю внешнюю конечную точку API, которая будет отправлять уведомления по электронной почте подписчикам. Когда идентификатор абонента (50 символов) и строка сообщения передаются на конечную точку, служба отправит сообщение по электронной почте на адрес электронной почты подписчика. Из-за характера службы ее нельзя заблокировать по IP-адресу или файлу сертификата или использовать OAuth2. Третья сторона будет получать доступ к этой конечной точке с помощью сообщений для рассылки подписчикам.
В настоящее время насчитывается более 100 000 подписчиков, каковы шансы, если злонамеренный пользователь найдет эту конечную точку, чтобы он мог случайным образом попробовать subscriberIds и найти действительные и начать отправлять им электронные письма, учитывая тот факт, что идентификатор имеет длину 50+ символов и существует около 100000 действительных идентификаторов подписчиков.
Каковы мои лучшие варианты для защиты этой конечной точки API? Вот мои мысли на данный момент: либо добавьте ключ API, который знает только третья сторона, и который будет отправлять при каждом запросе, и / или генерировать токен для каждого подписчика, сохранять его в базе данных, а затем на конечной точке требовать их