在代码级别或Nginx级别保护OTP API？

Question

场景：

我有一台OTP generation API。到目前为止，如果我在正文中使用联系号码做POST，它将生成动态口令代码，无论多少次，它被相同的ip调用。在代码级别和nginx级别没有安全性。

建议封堵IP是在代码层还是在Nginx。限制同一IP一天内访问api 5次。

Answer 1

你真的应该远离使用IP作为限制。不仅可以改变IP，允许中介重放OTP。

访问IP与其他唯一向量的组合将用作识别访问者并将OTP与其访问相关联的更好方法。

正因为如此，与您的web服务器相比，您希望实现的节流将在代码或应用程序级别得到更好的服务。无论如何，您也应该这样做，以便更好地保护OTP和与它们相关的最佳实践；过期，只使用它们一次等等。