Así que tengo un sitio web. Ahora estoy haciendo una aplicación para ello. En la aplicación necesito iniciar sesión en el usuario. Así que estoy creando una API para ello.
El problema es, una vez que hago esta API. ¿Cómo podré probar los robots y qué tienes?
ejemplo. En mi sitio web tengo recaptcha de google, donde haces clic para verificar que no eres un robot y luego continúas.
¿Existe un método similar para las API?
Podrías poner el captcha en la aplicación.
Supongo que tu API está basada en REST. Eche un vistazo a la hoja de referencia de seguridad de la API REST OWASP para conocer las mejores prácticas sobre cómo proteger su API.
Como se menciona en el enlace
Anti-reproducción. Los atacantes cortarán y pegarán un blob y se convertirán en otra persona. Considere utilizar una clave de cifrado de tiempo limitado, codificada contra el token de sesión o la clave API, la fecha y la hora, y la dirección IP entrante. En general, implemente cierta protección del almacenamiento del cliente local del token de autenticación para mitigar los ataques de reproducción.
Es mejor usar un marco REST probado y comprobado que proporcione todas estas características de seguridad en lugar de crear las suyas propias.
Lea otras preguntas en las etiquetas api