前段时间,智能手机应用程序打开浏览器进入带有验证码的注册页面,或者要求通过网络单独注册是很常见的,因为 API 注册被视为易受攻击。
现在大多数应用程序似乎都通过本机形式提供注册,尽管这方面的端点通常没有记录在他们的公共 API 中。我还没有看到很多关于这种被滥用来创建垃圾邮件帐户的报告。
这是怎么做到的?是否有标准的加密/握手过程来验证真实注册,或者注册通常依赖于未记录的端点和简单的 API 密钥传递?
问问题
203 次
1 回答
1
嵌入产生更好的体验,但有你提到的问题。是的,另一端的服务所有者仍然担心这个问题并解决这个问题。未记录的 API 无济于事,服务所有者知道这一点。
如今,工具箱中的工具之一是分配给可用于节流的设备的键。这基本上可以让您限制每个设备可以使用的服务量,并且它需要您有一个设备(或者可以从一个设备中窃取密钥)才能提供服务。只要向新设备颁发密钥的过程很强大(一个可解决的问题),那么您就可以在您愿意为设备提供的范围内提供无验证码的注册体验。
我还要注意,您还可以使用其他众所周知的方法,例如 IP 限制和与其他服务提供商(例如电话运营商)的握手。根据问题域,这些也在桌面上......
于 2012-10-31T20:52:50.587 回答