保護苗條的3，RESTful API

Question

我知道如何實現基於令牌的身份驗證。 但我擔心的是針對攻擊機器人的用戶操作，例如注冊，登錄或驗證。 我可以想象一個機器人通過偽造的電話號碼發出請求，而我的SMS或郵件服務器將全部響應！ 或成千上萬的注冊用戶位於數據庫的用戶表中，這些用戶是偽造的且未經驗證。 我知道一些防火牆策略可以阻止網絡層中的此類攻擊和流量。 但是可以用驗證碼或其他方法來保護“未經身份驗證”的HTTP操作嗎？

如果是，如何將驗證碼圖像從API服務器發送到客戶端？ 在RAW中？ 如果可以發送驗證碼，那么如何找到哪個客戶端的驗證碼？ 會議有幫助嗎？

感謝您的關注。

Answer 1

您可以實施某種形式的CSRF（跨站點請求偽造）陷阱來避免這種情況。 我結合使用CSRF和honeypot字段。 這是基本的概要：

1. 服務器通過一個隱藏類型的輸入標簽填充一個字段，該標簽包含一個動態設置的值並作為會話變量存儲在服務器上。
2. 該表單還包含一個使用CSS隱藏的文本字段（type =“ text”或textarea）。
3. 發布表單后，隱藏值（CSRF）令牌必須與保存的會話版本匹配，並且
4. honeypot字段必須為空。

如果測試失敗，我會回復401或404

Reg僵屍程序通常會填充蜜罐字段，其中一些很聰明，可以規避CSRF-我記錄所有未通過這些測試的嘗試，並捕獲了很多僵屍程序嘗試。