Скрытие URL-адресов API и предотвращение грубых атак
Я только что построил API в узле.
Я называю этот API в своем угловом приложении, чтобы делать основы, такие как логин и регистрация, например:
self.register = function(username, password) {
return $http.post(API + '/auth/register', {
username: username,
password: password
})
}
Поэтому мой вопрос в том, что любой может видеть этот URL-адрес API, поэтому то, что останавливает их от "избиения" его, чтобы создать пользователей там, будет. (Примечание API является константой в моем JS файле). То же самое касается входа в систему, что нужно, чтобы остановить кого-то из грубой силы, пытаясь использовать миллионы комбинаций имени пользователя и пароля.
И что бы вы порекомендовали в обеспечении этого?
Благодарю.
-
0Возможно дублирование запроса блокировки для нескольких неудачных входов в систему на определенный период времени.Neil McGuigan
3 ответа
Вы можете использовать некоторую защиту DDoS, например, поставить прокси nginx перед вашим API nodejs и использовать, например, модуль limit_req: http://nginx.org/en/docs/http/ngx_http_limit_req_module.html
Для грубой силы вы можете реализовать некоторую логику блокировки, которая после того, как количество ошибок будет блокировать учетную запись на некоторое время, например, 15-30 минут или даже потребует действия администратора.
Для API, требующих входа в систему, вы можете использовать защиту маркера. Маркер должен быть выпущен, когда API аутентификации вызывается и устанавливается через HTTP только защищенный cookie в ответ. Затем вы можете передать этот токен в заголовках запросов API и перед каждым выполнением каждого защищенного API в nodejs просто проверьте, действительно ли он действителен и отклоняет вызов, если это не так.
-
1Также, если вы используете Express с Node.js, рассмотрите модули Helmet ( github.com/helmetjs/helmet ) или Lusca ( github.com/krakenjs/lusca ). это поможет защитить заголовки HTTP запросов.
Вы спрашиваете о нарушении регистрации и защите входа, в основном:
- Как уменьшить автоматизацию создания аккаунта?
- Как смягчить угадывание пользователя/пароля?
К счастью, это в основном решенные проблемы.
Чтобы избежать регистрации "избиения", вам необходимо нарушить автоматизацию. Это может быть достигнуто различными подходами: от свободного до строгого:
- Если API предназначен только для доступа к конкретному приложению/браузеру, вы можете отфильтровать всех других посетителей
- Регистрация предельных значений по сеансу /IP
- Требовать прохождения CAPTCHA
- Подтвердить адрес электронной почты
- Требовать конфиденциальную конфиденциальность в качестве подтверждения личности (например, номер телефона, кредитную карту)
Что приятно в этом, так это то, что 1-3 - это задачи, которые можно легко выгружать в современный брандмауэр веб-приложений без какого-либо дополнительного серверного кодирования или дополнительной нагрузки.
Для "защиты входа" в дополнение к вышеупомянутым методам 1-3 есть еще два, которые рекомендуются:
-
Двухфакторная аутентификация (2FA). Это в основном означает, что в дополнение к его "регулярному" паролю пользователю необходимо ввести еще один токен аутентификации. Этот токен может быть сгенерирован TOTP (см. Google Authenticator) или код, отправленный сервером через SMS, электронную почту, телефонный звонок и т.д.
-
Ключи API. Это считается более безопасным, поскольку API-ключи обычно представляют собой очень длинные уникальные строки, которые имеют очень хорошую энтропию (по сравнению с коммандами user/pass). Подробнее о API-ключах здесь.
Прежде чем я пойду, небольшое замечание: я видел некоторые предыдущие комментарии, относящиеся к DDoS, и я не могу подчеркнуть это достаточно - ВЫ НЕ МОЖЕТЕ СМЯГЧИТЬ DDOS ПО САМОУБЛЮДЕНИЮ. Но это для другой темы.
Удачи!
+1 на scareddragon.
Если вы живете в облаке, есть лучшая, облачная альтернатива использованию nginx - использование облачного WAF (брандмауэра веб-приложений) в качестве уровня смягчения DDoS. Например, проверьте Incapsula и CloudFlare.
Если DDoS вызывает у вас серьезную озабоченность и вы готовы платить за защиту от этого, это одна из проблем, которые я определенно оставил бы перед экспертами.
Ещё вопросы
- 0Передача переменной сеанса PHP для «включения» проблемы с страницей
- 1«Метка [0] отсутствует в [index]»
- 1Использование конкретных номеров для достижения целевого числа
- 0HWIOauthBundle не перенаправляет на нужный путь после входа в систему
- 0Метод SVD в с ++
- 0Директива AngularJS для вкладок пользовательского интерфейса BootStrap (проблемы с областью изоляции)
- 1Gradle, Вы не приняли лицензионные соглашения (Android SDK)
- 1D3 v4, перемещая и круг, и текст одновременно
- 1SonarQube не выполняет тесты C # - виджет Покрытие модульных тестов показывает 0
- 1Как мне суммировать данные временных рядов по дням в Python? resample.sum () не имеет никакого эффекта
- 0несколько условий внутри функции щелчка не работает
- 0Cakephp Auth-> user () null
- 0Сохранять правки FORM при закрытии HTML-файлов
- 0AngularJS - Форма с элементом Select для получения идентификатора из другого объекта
- 1Попытка реализовать аутентификацию JWT в узле. Получение несанкционированного доступа на защищенных маршрутах
- 0Mvc: вызов метода контроллера и использование значения, выбранного из выпадающего списка в этом методе
- 0У меня есть срок до 5 дней, мне нужно добавить +1 день для каждого нерабочего дня (выходные или праздничные дни)
- 0Удалите «\ 1» в конце строки буфера и не показывайте значение - WinAPI и C ++
- 0Изменение переменной контроллера с завода. AngularJS
- 0Изменение метатега в окне просмотра iOS 7
- 0указатели на многомерные массивы в классе
- 0Разделите вывод .serialize () и создайте оператор вставки для каждой разделенной части
- 1Расширение меню не отвечает
- 1Как использовать составной обработчик с вложенным открытым универсальным?
- 0Избегание случайных указателей в условиях, включающих AND
- 0Получить общее количество попаданий из полнотекстового поиска
- 0Таблица годовых доходов и расходов
- 0Кнопка «Нравится» / «Рекомендовать» на Facebook не показывает правильную ссылку на лайк или изображение
- 0Как написать POST с именами полей?
- 1Могу ли я отформатировать тип данных TIME на JavaDB?
- 0проверка JQuery в приложении MVC3
- 0Javascript / JQuery заменить текст удаляет форматирование Div
- 1js Дата изменения 10 октября (BST) [копия]
- 1Как привязать JLabel к JSlider с помощью деления?
- 0AngularJS и Google
- 0Отобразить проблемы встроенного блока
- 1Кассандра, прочитайте значение карты типа столбца <>, используя ByteBufferUtil (org.apache.cassandra.utils)
- 0Невозможно создать запрошенный сервис [org.hibernate.engine.jdbc.env.spi.JdbcEnvironment] (при попытке использовать EntityManager)
- 1Нажмите: как применить действие ко всем командам и подкомандам, но разрешить команде отказаться (часть duex)?
- 0Селектор хода по порядковому номеру нажатого элемента
- 0OpenCV QT дисплей видео
- 0jQuery - добавление CSS3-анимации в div с использованием jQuery.
- 0показывать логотип в html без указания URL в источнике
- 0Javascript / JQuery: как что-то переопределить?
- 1Javascript: Как получить значение переменной из конкретного файла из 2 разных файлов?
- 1преобразовать данные массива из объекта / float в int для использования в методе
- 1Как отложить вызов в базу данных от gwt?
- 0Hover FadeOut для определенного класса
- 1Напишите скрипт, который запускает команду с аргументами
- 0почему при использовании сервиса не отображается предупреждение?
