RESTAPI 实际应用的一些疑惑。

说实话，这两个问题都不是 RESTful 的问题……

请问你不用 rest 时是怎么解决的？和 rest 有关系？

api limit 是干嘛的。。。
第二个问题就算不是 rest 也有这个问题啊

应该说，用了 RESTAPI 使得你列出来的这些问题更好解决了。

1. 如果你的 RESTful 框架支持 filter 或者类似的东西，你可以针对 get 方法来做限制；相反如果你不是用 restful 的话，鬼知道你要针对怎样的 url 和请求来做限制？

2. 针对恶意大量注册，新加一个验证码 AP ，用来给填对了验证码的注册用户发 token ；然后实现注册逻辑的地方，从数据库里面校验这个 token ，就解决了。 如果不用 restful ，很可能你就要把 注册和反机器人写在一个逻辑了。

这和 REST 一点关系都没，安全设计方面的问题。

你的担心是正常的，我想国内 d 大部分网站也没这方面意识。

从技术上，实现不难。
1. csrf ， 很多框架都已经内置实现了， Spring Security ，（ JSF 2.2 当然这个不属于 REST 范围）等。（检验每次请求的合法性）
2. API 对使用网站 example.com 授权，用 Oauth 容易实现。（检验 API 客户端的合法性）

@hantsy csrf 应该只是针对 post,put 等请求的吧。

@noli 第二点：这样每次注册都得填验证码，现在主流好像都是注册好几次才需要填的。

@WIwindson 没错。我的 1.2 不针对他问题的一二。

对保护内容可以用 1. HTTPS 2. 内容 Sign （ JWT 等）

对于注册嘛。。。验证码不如短信直接。

@Wlwindson

主流是根本不防注册。有多少个 email 地址可以拿来注册？多多益善。
起码给投资人的数据好看。

不过看来你也没打算按主流做啊？不然这根本就不是问题

1.可以用 UUID
2.增加限制规则

有人抓你说明你的内容还有那么点用，最怕是完全没人有兴趣。。