保護移動應用程序使用的API用戶註冊端點

Question

我最近已經學會了使用JWT來保護用於我爲移動應用程序創建的API的用戶端點。

我目前有一個無登錄系統，其中應用程序用戶自動註冊到服務器上，然後自動獲得授權併發布JWT以用於所有其他請求。所有的路由都受到保護，除了以下2：

1）POST/register： 最重要的一個，我無法弄清楚如何保護。任何擁有該URL的人都可以通過任何登錄/密碼組合並考慮自己註冊，然後獲得JWT。 我想限制註冊僅限於我的移動應用程序。我怎樣才能做到這一點？

2）POST/auth：用於驗證登錄名/密碼併發布JWT。如果我設法保護註冊，我想可以保持不受保護。但我確實希望將其限制到我的移動客戶端。

謝謝。

Answer 1

爲了保護註冊，僅僅保護終點是不夠的。用戶始終可以將requests添加到您的服務器。

您應該做：電子郵件驗證或電話驗證，或使用驗證碼。這將防止機器人註冊。

推薦驗證碼庫由谷歌：

• https://www.google.com/recaptcha/intro/index.html