我正在使用 Auth0.com 使用无密码身份验证构建应用程序,并且有一种异常检测方法,但似乎仅适用于使用帐户的电子邮件身份验证。有没有办法控制在一定时间内使用 twilio.com 发送到某个电话号码的短信数量,这样用户就不会滥用该服务。
问问题
523 次
2 回答
0
https://[tenant].auth0.com/passwordless/start用于通过 SMS 启动无密码身份验证过程的端点 ( ) 是速率受限的。如果您想知道确切的限制,请参阅有关速率限制的文档以了解要检查哪些 HTTP 响应标头。
我刚刚做了一个快速测试,我在该端点上获得了每分钟大约 50 个请求的限制,但是,这不是用户可配置的,也不是每个电话号码。我相信这是每个 IP 地址,尽管我还没有确认。
如果您检测到超出您通常预期的活动级别,您还可以依赖 Twilio 使用触发器来获得可能的滥用尝试的通知,甚至实现触发器将调用的 Web 挂钩以自动禁用 Auth0 中基于 SMS 的无密码身份验证。
于 2016-10-25T12:39:08.223 回答
0
我今天发现,在使用 Auth0 无密码身份验证进行大量登录尝试后,该用户帐户被阻止。
于 2016-10-24T09:13:30.113 回答