- हर API को authenticated होना चाहिए। इससे malicious users की पहचान की जा सकती है
→ अगर full authentication संभव न हो, तो anonymous/unauthenticated traffic पर कड़ी सीमाएँ लगाएँ
- एक single API द्वारा लौटाए जाने वाले data की मात्रा को न्यूनतम रखें
- सभी APIs पर rate limit लागू करें
- malicious traffic को application तक पहुँचने से पहले filter करें
- अजीब URLs को block करें
- malicious IPs को block करें (भले ही उन IPs से थोड़ा legitimate traffic आता हो)
- blocklist को automate करें
- Tar Pitting botnet और volume-based attacks को धीमा करने का एक शानदार तरीका है
2 टिप्पणियां
"एक single API जो data लौटाती है, उसकी मात्रा को न्यूनतम रखना" — यह ऐसा बिंदु है जिससे मैं आमतौर पर सहमत रहता हूँ और इसे अच्छी तरह लागू भी करना चाहता हूँ, लेकिन आलस...
ये बातें भले ही स्पष्ट लगती हों, लेकिन व्यस्तता के बीच अक्सर हम इन्हें नज़रअंदाज़ कर देते हैं। शायद सिद्धांतों की यही खासियत होती है।