Estamos planeando / especificando una API REST para la comunicación con una aplicación iOS que está construyendo un equipo externo. Para la mayoría de las llamadas, la clave API está codificada en la aplicación y una ID de sesión producida por nuestra parte después de la autenticación del usuario o la llamada se ignora (401, 403 o similar).
Hay un punto final que estamos planeando, sin embargo, para el informe de errores. Los errores en la aplicación pueden ocurrir durante la autenticación, y si queremos usar este punto final para recibir informes sobre ellos, esta llamada no puede requerir una identificación de sesión.
El objetivo, y la pregunta, es encontrar una manera de detectar e ignorar el "spam" de los atacantes que han olfateado el API y atacarlo con informes de basura. Sé que esto no evitará un DoS completo ya que la API debe digerir la llamada para determinar si es legítima, pero reducirá la contaminación del almacén de registro de errores en nuestros servidores.
La respuesta más simple que puedo imaginar es, no la use para errores de autenticación previa. Podemos registrar los intentos de autenticación, pasar o fallar, ya que recibimos esas llamadas, y si no recibimos esas llamadas de la aplicación, probablemente tampoco recibiremos el informe de error resultante.
¿Hay alguna buena alternativa para permitir que la aplicación informe los errores encontrados antes de la autenticación exitosa del usuario y al mismo tiempo evita que este método sea demasiado abierto al spam?