私のMEANサーバー( - > node.js)と(GETおよびPOST)データを交換するはずのブラウザ拡張に取り組んでいます。私は拡張機能をバイパスし、悪意のあるソフトウェア/サーバー/個人がデータを直接送信/要求することから生じるDDOS攻撃や同様の脅威を避けるために、サーバー側のAPIルートを保護する方法について疑問を抱いていました。ブラウザ拡張:API呼び出しを保護する方法
私は(/ HTTPS接続を介してPOSTをGET)各コールに含まれる必要があり、いくつかのトークンを採用するつもり:
目に見えない私の延長と白 - の内側にハードコードされている静的な拡張IDのハッシュ例えばEXT_IDように、サーバ側で記載されている:所定の期間におけるユーザ/伸長当たり要求の量を制限e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
ハッシュユーザ名様および塩漬けユーザーの資格情報(拡張設定内の入力フィールドを介してユーザによって提供され、ローカルに保存されている)、:e3b0c44298fc1c149 [...]、パスワード:da39a3ee5e6b4b0d3255bfe [...]
私は期待していましたこの分野の経験豊富な専門家によるいくつかのインプットと建設的な批判のために、このアプローチを承認したり強化したり、あるいは合理的な代替案を提案することさえできます。
この質問は、[Information Security StackExchange](http://security.stackexchange.com/)でさらに詳細な回答が得られる場合があります。あなたがそこでそのような質問をするならば、少なくともこの質問にリンクを残す。 – Makyen
よろしくお願いします。 –