Я знаю, как реализовать аутентификацию на основе токенов. Но я обеспокоен действиями пользователей, такими как регистрация, вход в систему или проверка, против атакующих ботов. Я могу представить себе бота, делающего запросы по поддельным номерам телефонов, и мой SMS или почтовый сервер ответит на все из них! Или тысячи зарегистрированных пользователей находятся в таблице пользователей в базе данных, которые они являются поддельными и не проверены. Я знаю некоторые стратегии брандмауэра, чтобы блокировать подобные атаки и трафик на сетевом уровне. Но возможно ли обезопасить «неаутентифицированные» действия HTTP с помощью кода Captcha или другим способом?
Если да, то как можно отправить изображение капчи с сервера API клиенту? в RAW? если возможна отправка капчи, то как найти капчу для какого клиента? Сессия может помочь?
Спасибо за внимание.
Вы могли бы реализовать форму перехвата CSRF (межсайтовый запрос), чтобы избежать этого. Я использую комбинацию полей CSRF и honeypot. Вот основное краткое изложение:
Если тесты не пройдены, я отвечаю 401 или 404
Reg-боты обычно заполняют поля honeypot, а некоторые достаточно умны, чтобы обойти CSRF — я регистрирую все попытки, которые не проходят эти тесты, и фиксирую довольно много попыток ботов.
Других решений пока нет …