在验证用户之前停止api滥用

Question

我们有一个Android应用程序。用户需要使用基于sms的OTP登录才能使用app。

我们对OTP的请求是公共API。攻击者已开始滥用此API。与实际用户相比，API调用增加了10倍。

有什么不同的方法可以防止这种情况发生呢？解决方案应在响应时间的范围内工作，服务器资源不应受到影响。

Answer 1

您可以通过IP地址和/或电话号码进行服务器端的节流。但是一个持续的滥用者可能拥有大量的数字和IP。

最好的解决方案是让你的应用程序签名你发送到后端的有效载荷。如果出现未签名或签名错误的有效载荷，请不要发送OTP。

对于iOS，认证是认证，安卓是游戏完整性。这些API允许您验证对后端的调用来自真正的应用程序。