我有一个用 Express 和 Typescript 编写的 API。为了访问 API 的所有部分(授权部分除外),客户端需要发送一个先前使用密钥签名的 JWT。然后将验证此 JWT,并继续处理请求。我的问题是:有人使用 Postman、Thunderclient 甚至 Cypress,有什么可以阻止这个人,比如说,从 sessionStorage 中获取 JWT 并编写一个插入并运行它一百万次,从而在我的数据库中造成很多混乱?或者更糟糕的是,什么会阻止他们从另一个用户那里获取 ID(我的应用程序中的 ID 没有经过哈希处理。他们应该这样做吗?)并发送删除请求?
我能想到的解决方案是:
这些解决方案是否足够甚至可行?
我还没有尝试过任何一种解决方案,我希望有更多经验丰富的开发人员的见解来做出我的决定。