Я читал о защите API REST и читал о oAuth и JWT. Оба являются действительно отличными подходами, но из того, что я понял, они оба работают после аутентификации пользователя или, другими словами, "вошли в систему". Это основано на учетных данных пользователя oAuth и JWTs генерируются, и после того, как токен oAuth или JWT будет получен, пользователь может выполнить все действия, на которые он разрешен.
Но мой вопрос: а как насчет входа и регистрации apis? Как защитить их? Если кто-то читает мои javascript файлы, чтобы увидеть мои вызовы ajax, они могут легко узнать конечные точки и переданные параметры, и они могут ударить его несколько раз через некоторый клиент REST, более строго они могут закодировать программу, которая попадает на мою подпись api скажем, тысячу раз, что создало бы тысячи пользователей спама, или они могли бы даже грубо заставить login api. Так как же они защищают их?
Я пишу свой API в yii2.