iPhoneとAndroid用のREST APIを使用してバックエンドアプリケーションを作成しています。内部APIです。iPhone/Android用の登録REST APIを実装する最善の方法は何ですか?
この時点で、ユーザーがモバイルアプリから登録できるようにユーザー登録APIを実装しようとしています。
私はDjangoを使って書いています.Djangoには、WebリクエストのためのCross Site Request Forgeryが付属しています。私はdjango-pistonを使用してREST APIのためにそれを無効にする必要があります。
登録APIをスパムから保護するにはどうすればよいですか?スロットル?キャプチャ?登録APIを実装するベストプラクティスは何ですか?落とし穴は何ですか?
モバイルアプリでウェブビューを読み込んで、CSRFを実装できるようにモバイルウェブ登録フォームを作成することを提案しました。ソリューションですが、モバイルデバイスごとにデザインページを作成したり、すべてのデバイスに適していない一般的なデザインページを作成したりする必要がありません。
多くのご支援をいただきありがとうございます。
乾杯、 ミッキー
ちょうど興味深い、なぜcaptchaは使用できないのですか? REST APIレベルで –
確かに可能ですが、RESTを通してキャプチャ画像を取得し、それをユーザに表示してから、次の呼び出しで答えを返さなければなりません。あなたがセッションを必要とするので、APIが理想的ではないことがわかります。私はAPIコールの間に状態を保つことを嫌う。たぶんその私だけ。 –
ステートレスなAPI呼び出し(これはRESTの基本原則の1つです)に同意します。しかし、あなたが自分のcapchaを動かしているのであれば、capchaのイメージURIの横に「トークン」(例えば、答えのMD5塩漬けのハッシュ)を返せない理由はありません。次に、APIを使用してモバイルアプリを確認し、発行された元のハッシュと一緒にユーザーの回答を送信します。 –