Mejores prácticas para asegurar API abiertas contra el robo de cuotas

1

Sé que appKey no es un medio para autenticar aplicaciones. Pero me pregunto cuáles son las mejores prácticas para evitar el robo de cuotas para las API abiertas, que no están asociadas con ninguna cuenta de usuario. La API de Google Maps podría ser un ejemplo de estas API. Incluir el appKey dentro de los clientes (aplicación de navegador, clientes móviles) los hace vulnerables al appKey de robo.

Para la referencia, aquí están las recomendaciones de Google: enlace

Podría ser una evaluación errónea, pero ¿son las credenciales de cliente de OAuth 2.0 con un servidor proxy adecuado en tales escenarios? ¿Hay casos del mundo real?

    
pregunta zeronone 18.07.2016 - 09:18
fuente

1 respuesta

2

Si no puede configurar cuentas de usuario o cualquier otra forma de identificación, que es la mejor práctica para cada API, se le deja lo siguiente:

  • Recopilación de métricas de número de solicitudes por IP, subred, AS, país
  • Limitación proporcional al uso al mismo tiempo que se esfuerza al máximo para no comprometer a los usuarios que no abusan del sistema y proporciona una cuota suficiente a la subred, AS, país, etc. Esto se debe a que, sin la identificación del usuario, siempre será injusto cuando intente limitar por direcciones de red, ya que este bit no identifica a ningún usuario.

Es posible que necesite saber cuáles deberían ser los límites al observar el número total de solicitudes del país y también de las subredes del mismo país, igual para AS, subredes, etc. Esto es para brindar un servicio de la mejor calidad. teniendo en cuenta estas métricas. Sin embargo, este es un mal método.

ps. Realmente deberías hacer esto por cuenta de usuario. Si la cuenta es robada, ponga la política en las cuentas para que no vuelva a suceder. Utilice el cifrado y así sucesivamente.

    
respondido por el Aria 18.07.2016 - 15:18
fuente

Lea otras preguntas en las etiquetas