是否可以阻止 RESTful API 中的批量查询？

Question

我想问一下，如果可能的话，防止坏用户对我的 RESTful Web API 进行多次查询。这是我的情况：

我的客户端应用程序向 Web API 进行查询。该查询由产品的 EAN 代码组成。服务器回复产品参数和其他产品信息。现在，我试图防止的是，我的竞争对手（坏用户）窃取我需要手动收集的宝贵数据。问题是，BAD 用户拥有所有 EAN 代码的列表，并且可以进行自动查询以从我的 API 获取所有数据。

Answer 1

限制它们，以便它们每分钟只能请求 x 次……也许通过最终用户必须注册的身份验证令牌或 API 密钥。或者，如果您认识他们，也可以将他们的 IP 全部列入黑名单。

Answer 2

让 API 用户自行注册并将 API 密钥分发给每个人。如果您愿意，密钥可以是 URL 的一部分。这样，您就可以跟踪哪些用户正在做什么，并根据需要设置使用限制。

Answer 3

当然，您需要对 API 实施安全保护。不允许匿名访问您的资源或 API，并确保只有您的“好”客户端才有权调用它们。 HTTPS 基本身份验证以及传输层的 SSL 加密就可以解决问题，或者让他们在请求中指定秘密客户端密钥。