使用Auth0和Twilio的无密码身份验证

Question

我正在使用Auth0.com构建一个使用无密码身份验证的应用程序，并且有一种异常检测的方法，但它似乎只适用于使用帐户的电子邮件身份验证。有没有办法控制短信的数量，使用twilio.com发送到某个电话号码在一定的时间内，使用户不会滥用该服务的使用。

Answer 1

我今天发现，在使用Auth0无密码身份验证进行大量登录尝试后，该用户帐户被阻止。

​

Answer 2

用于通过短信启动无密码身份验证过程的端点(https://[tenant].auth0.com/passwordless/start)受到速率限制。如果您想知道确切的限制，请参阅documentation on rate limiting以了解要检查哪些HTTP响应头。

我刚刚做了一个快速测试，我得到了该端点上每分钟大约50个请求的限制，但是，这不是用户可配置的，也不是每个电话号码的。我相信这是每个IP地址，尽管我还没有确认它。

你也可以依靠Twilio使用触发器来通知可能的滥用企图，或者甚至实现一个网络钩子，如果你检测到的活动水平远远超出你通常预期的水平，触发器将调用该钩子在Auth0中自动禁用基于短信的无密码身份验证。