我正在考慮將OpenID作爲我的PHP應用程序的登錄方法,但有一件事阻止了我的繼續:我如何保護OpenID使用者免遭濫用?如何保護OpenID消費者免受濫用?
An example of abusing OpenID by using a consumer as proxy
濫用包括洪水其他服務器與要求,用我的應用程序作爲代理,通過一個大的下載網址爲不必要的或通過做大量的請求減緩服務器。
我想我應該對做請求實行速率限制,但我該怎麼做呢?可能的攻擊者可以使用其他代理或TOR繞過IP檢查。限制允許的提供者會違反OpenID的原則嗎?
我不指望我的用戶是邪惡的,但我想知道在添加另一個可能的攻擊媒介之前需要考慮哪些事項。
重要的是,我將使用lightopenid作爲PHP應用程序的後端。
客戶端IP地址似乎是一件好事,可能使用C類部件來進一步降低濫用機會。 – Lekensteyn