保护超薄3，RESTful应用编程接口

Question

我知道如何实现基于令牌的身份验证。但我担心的是用户的行为，如注册，登录或验证，以防止攻击机器人。我可以想象一个机器人通过假电话号码发出请求，我的短信或邮件服务器会回复所有的请求！或者成千上万的注册用户在数据库的用户表中，他们是假的，没有经过验证。我知道一些防火墙策略可以在网络层阻止这些类型的攻击和流量。但是，是否有可能使用Captcha代码或其他方式来保护“未经验证”的HTTP操作？

如果是，如何将验证码镜像从API Server发送到客户端？在RAW里？如果可以发送验证码，那么如何找出哪个验证码是针对哪个客户端的？会话能有帮助吗？

感谢您的关注。

Answer 1

您可以实现一种形式的CSRF (跨站点请求伪造)陷阱来避免这种情况。我使用CSRF和蜜罐字段的组合。下面是基本的概要：

1. 服务器通过隐藏类型的输入标记填充字段，该标记包含动态设置的值并作为会话变量存储在服务器上。
2. 表单还包含使用CSS隐藏的文本字段(type=“文本”或文本区域)。
3. 当表单发布时，隐藏值(CSRF)内标识必须与保存的会话版本匹配，并且
4. 蜜罐字段必须为空。

如果测试失败，我会返回401或404

Reg机器人通常会填满蜜罐领域，其中一些足够智能，可以绕过CSRF -I记录所有未通过这些测试的尝试，并捕获相当多的机器人尝试。