2
我有一個OTP generation API
。到目前爲止,如果我在身體接觸號碼POST
,它將生成OTP代碼,無論次數多少,它都會被相同的ip調用。代碼級別和nginx級別沒有安全性。
建議被接受是否阻止IP應該在代碼級別或Nginx。我想限制從同一個IP一天5次訪問api。
我有一個OTP generation API
。到目前爲止,如果我在身體接觸號碼POST
,它將生成OTP代碼,無論次數多少,它都會被相同的ip調用。代碼級別和nginx級別沒有安全性。
建議被接受是否阻止IP應該在代碼級別或Nginx。我想限制從同一個IP一天5次訪問api。
你真的應該放棄使用IP作爲限制。不僅可以改變IP,允許中間人重放OTP。
訪問IP與其他獨特向量的組合將作爲識別訪問者並將OTP與其訪問相關聯的更好方法。
正因爲如此,您希望實現的節流將在代碼或應用程序級別與您的Web服務器之間得到更好的服務。無論如何,您還應該這樣做,以便更好地保護OTP和與之相關的最佳做法;到期,只使用一次等等。