Hallo liebe PHP.de Community,
Ich habe eine konkrete Fragestellung bei der ich einen guten Rat gebrauchen könnte. Es geht um eine REST-Schnittstelle, welche ich mit PHP geschrieben habe. Über diese Schnittstelle kann ein Benutzer sich per POST-Request für meine App (SPA) registrieren.
Sobald ein Benutzer sich registriert hat, erzeuge ich beim Einloggen des Benutzers auf dem Server ein JWT (anhand von Username, Password und einem Server-Secret). Für nachfolgende REST-Services muss der Benutzer sich anhand des JWT eindeutig gegen den Server authentifizieren.
Was ich jedoch noch bräuchte, wäre ein Konzept um Spam für die Registrierungs-Schnittstelle zu verhindern. Clientseitig kann ich hier beispielsweise Dinge wie Captchas oder Honeypots (hidden fields) in das Formular einbauen. Mein eigentliches Problem liegt aber serverseitig. Falls ein fähiger User valide POST-Requests auf meine REST-Schnittstelle produziert ist diese für Spam sehr anfällig. Die Datenbank würde hier relativ schnell mit "Fakeusern" gefüllt werden. Eine meiner Ideen wäre hier das Setzen einer SESSION-ID für eine bereits erfolgte Registrierung. Das löst jedoch das eigentliche Problem nicht.
Vielleicht habt ihr da ja einen guten Rat für mich.
Viele Grüße
Markus
Ich habe eine konkrete Fragestellung bei der ich einen guten Rat gebrauchen könnte. Es geht um eine REST-Schnittstelle, welche ich mit PHP geschrieben habe. Über diese Schnittstelle kann ein Benutzer sich per POST-Request für meine App (SPA) registrieren.
Sobald ein Benutzer sich registriert hat, erzeuge ich beim Einloggen des Benutzers auf dem Server ein JWT (anhand von Username, Password und einem Server-Secret). Für nachfolgende REST-Services muss der Benutzer sich anhand des JWT eindeutig gegen den Server authentifizieren.
Was ich jedoch noch bräuchte, wäre ein Konzept um Spam für die Registrierungs-Schnittstelle zu verhindern. Clientseitig kann ich hier beispielsweise Dinge wie Captchas oder Honeypots (hidden fields) in das Formular einbauen. Mein eigentliches Problem liegt aber serverseitig. Falls ein fähiger User valide POST-Requests auf meine REST-Schnittstelle produziert ist diese für Spam sehr anfällig. Die Datenbank würde hier relativ schnell mit "Fakeusern" gefüllt werden. Eine meiner Ideen wäre hier das Setzen einer SESSION-ID für eine bereits erfolgte Registrierung. Das löst jedoch das eigentliche Problem nicht.
Vielleicht habt ihr da ja einen guten Rat für mich.
Viele Grüße
Markus
Kommentar