Как защитить REST API от невалидных запросов?

Казалось что в этом есть необходимость. Получается, что даже если я хочу работать только со "своими" клиентами - подписывать запрос не имеет смысла. Хотя изнутри что-то гложит)

Спасибо за ответ, это решение одназначно.

Дополнительный вопрос: если я захочу в один момент отключить запросы от приложения, как это лучше организовать? К примеру есть клиенты на android и ios, появилась необходимость отключить приложение на ios.

Иван Воробей ну вот вам человек то же самое объяснил, только более доходчиво) И я с ним согласен.

Станислав Макаров: спасибо! Пометил бы и ваше решением, если бы была возможность. Спасибо за помощь.

Возможно знаете ответ на вопрос чуть выше?

Иван Воробей
> К примеру есть клиенты на android и ios, появилась необходимость отключить приложение на ios.
Надежно - никак, по тем же причинам, что мы уже обсудили - все может будет подделать. Чел может сесть, собрать траффик, и отправить запросы вообще с ПК, и выдать себя за кого угодно.

Ненадежно - посылайте сами нужные заголовки из обоих приложений, User-Agent как раз для этого. Тогда вы сможете смотреть этот хедер и не обслуживать того, кого не хотите (т.е. сделать whitelist, а всех, кто не попадает в него - посылать), это будет работать для тех юзеров, кто не готов заморачиваться и что-то перехватывать.

И все-таки, хороший REST-сервис - тот, для которого клиент - ведь абстрактная. По сути, клиентское приложение - лишь инструмент упрощения жизни юзеру. С помощью клиентского приложения вы как бы избавляете человека от необходимости генерить HTTP-запросы вручную, не более того. Если нужно как-то ограничивать доступные ресурсы на сервисе - авторизуйте конкретного пользователя, плюс используйте rate limits, если нужно.

Иван Воробей: я верно понял, вам нужно уметь банить определенные клиенты? Если так, то едва ли что-то можно сделать. Вы же уже поняли, что любое приложение на клиентской стороне может прикинуться кем угодно. Вы запрещаете ios приложение, а завтра оно прикидывается, что оно android приложение. И работает, как и до.

xfg: банить - нет. Я уже понял что это бесмвсленно.

Цель такая: скажем я выпустил новый клиент на ios, а старый хочу не обрабатывать. Просто делаю неактивным клиентское приложение у себя на сервере, и ответы от него не приходят.

Вопрос не в безопасности, а в удобстве. Обычный пользователь откроет приложение и увидит мол "клиент больше не активен, удаляй". Утрирую, но идея должна быть понятна

Станислав Макаров: этот заголовок подходит для случая, когда у меня несколько клиентов на ios?

Выглядит как то что нужно. Вопрос не в безопасности, а в индетификации клиента

Иван Воробей: понял. В таком случае, я бы из клиента отправлял запрос с доп. заголовком с информацией о клиенте: X-Client: iOS v1.0.0
Сервер этот заголовок читает и если он ему не нравится, то отправляет что-нибудь клиенту в ответ.

xfg: спасибо! Со слезами на глазах благодарю!

Иван Воробей у юзер-агента достаточно сложная структура, как минимум вы сможете указать название приложения и его версию. См. tools.ietf.org/html/rfc7231#section-5.5.3

Если вопрос не в безопасности, то этот хедер прекрасно вам подойдет. Когда еще в вебе с вопросами совместимости было совсем плохо, многие веб-сайты по юзер-агенту определяли, какой HTML лучше отдать клиенту, или не отдавать вообще, и сказать, что браузер устарел/не поддерживается сайтом. При этом браузеры, в свою очередь, начали косить друг по друга.. Так что это все как раз про вас, только у вас в роли клиента не браузер, а более узкоспециализированное приложение.

Станислав Макаров: огромное спасибо! Не первый раз радуете отличными ответами.