2
我有一個OTP generation API。到目前爲止,如果我在身體接觸號碼POST,它將生成OTP代碼,無論次數多少,它都會被相同的ip調用。代碼級別和nginx級別沒有安全性。
建議被接受是否阻止IP應該在代碼級別或Nginx。我想限制從同一個IP一天5次訪問api。
A
回答
0
你真的應該放棄使用IP作爲限制。不僅可以改變IP,允許中間人重放OTP。
訪問IP與其他獨特向量的組合將作爲識別訪問者並將OTP與其訪問相關聯的更好方法。
正因爲如此,您希望實現的節流將在代碼或應用程序級別與您的Web服務器之間得到更好的服務。無論如何,您還應該這樣做,以便更好地保護OTP和與之相關的最佳做法;到期,只使用一次等等。
相關問題
- 1. 在JMX級別保護Geode
- 2. 地理編碼API在項目級別或帳戶級別的使用限制?
- 3. Wear級別不支持API級別19?
- 4. 輔助功能級別:受保護級別和私有級別有什麼區別
- 5. WCF設置綁定的保護級別?
- 6. UI代碼級別模式?
- 7. 在API級別的Android的<API級別旋轉的ImageView 11
- 8. 預安裝和特權保護級別之間的區別
- 9. UI級別測試和API級別測試有什麼區別?
- 10. @Result在類級別和方法級別
- 11. Android API中Dialog.setOnShowListener的替代級別7
- 12. 在路由器級別或組件級別加載React/Redux/Data?
- 13. ptrace是否在用戶級別或內核級別上工作?
- 14. system.web.caching - 緩存在哪個級別維護?
- 15. 如何只在特定的API級別上執行代碼
- 16. graphql的混淆。它是數據庫級別查詢或API級別查詢
- 17. API級別10的SqliteDatabase.getDatabaseName
- 18. Eclipse Android更改API級別
- 19. AndroidHttpClient奇怪的API級別
- 20. Android API級別要求
- 21. 在同級別
- 22. 在同級別
- 23. 更改GWT代碼的混淆級別
- 24. 隨機數發生器:級別或方法級別?
- 25. System.Web.Cache,會話級別或應用程序級別
- 26. 多重保護級別在WCF中不起作用
- 27. 在iOS中查找特定文件的數據保護級別
- 28. 更高或更低級別?
- 29. 驗證是更明智的在哪個級別視圖級別或模型級別在asp.net MVC
- 30. 對象級別和類級別鎖定