防止垃圾邮件REST风格的JSON Web服务

Question

我有一个web服务在grails中处理来自GWT客户端的POST。如果用户登录，他也可以通过浏览器访问没有GWT的web服务。

我现在的问题是如何以一种不可能将我的web服务用垃圾邮件阻挡的方式来保护它。 1000新条目只是通过强调我的web服务与特定的职位（也许在一个循环）登录时？

对于Android客户端也是如此，如果我将其他开发者授予我的web服务，并且他们可以将数千个数据发布到我的web服务中。

有没有我可以使用的机制？

感谢您的帮助

Answer 1

此REST API的用户需要绑定到API密钥。 A cryptographic nonce通常是选择的工具。为了发布该密钥，用户应该被要求解决验证码。每个API密钥应限制为特定数量的请求。如果用户发送了很多请求，那么你应该用一个验证码（这可能是对REST请求的错误响应）提示他们。

但是为了强制执行此规则，您必须在每个客户端上保留服务器端状态，并且此处不会是RESTful。简而言之，你所要求的不仅仅是REST的可能性。