目前我遇到了一個(gè)問題,我正在做一套用戶登錄的api,將來這套api是給pc和app上共同使用的,那么問題來了,如何防止api被暴力破解?如果對方只使用一個(gè)賬號進(jìn)行密碼匹配還好,我可以記錄賬號的登錄次數(shù),超過了一定次數(shù)就將該賬號凍結(jié),但是問題來了:假如我拿到600W賬號+密碼,一次遍歷輸入,很有可能就撞到一個(gè)匹配的賬戶,限制ip也不可靠,因?yàn)閭卧靑p實(shí)在太簡單,那么該怎么解決這個(gè)問題呢?如果每次都設(shè)置驗(yàn)證碼,用戶體驗(yàn)太差,驗(yàn)證碼被機(jī)器識別也只是時(shí)間問題,不知道大家怎么解決的?
6.4更新:我其實(shí)一直想的是,如果可以拿到機(jī)器的唯一標(biāo)識,類似mac地址的東西最好,這樣就可以避免攻擊者在一臺機(jī)器上刷api,無論他不停換ip換賬號都沒用,可惜拿不到,于是就想問問大廠們是怎么解決的。
5 回答

米脂
TA貢獻(xiàn)1836條經(jīng)驗(yàn) 獲得超3個(gè)贊
可以對賬號與常用ip綁定 新的ip 進(jìn)行驗(yàn)證碼驗(yàn)證 至于破解難度 就看你驗(yàn)證碼的難度了 也此基礎(chǔ)上加上頻率限制

慕碼人8056858
TA貢獻(xiàn)1803條經(jīng)驗(yàn) 獲得超6個(gè)贊
就是校驗(yàn)驗(yàn)證碼,但不是每次都校驗(yàn),只有登錄錯(cuò)誤次數(shù)超過一定限制(比如說3次),才會要求校驗(yàn)驗(yàn)證碼。
即保證了用戶體驗(yàn),也保證了系統(tǒng)安全。

繁星淼淼
TA貢獻(xiàn)1775條經(jīng)驗(yàn) 獲得超11個(gè)贊
拖動驗(yàn)證碼的體驗(yàn),還是不錯(cuò)的。
淘寶或者阿里云上經(jīng)常,能看到鼠標(biāo)拖動的驗(yàn)證碼
- 5 回答
- 0 關(guān)注
- 983 瀏覽
添加回答
舉報(bào)
0/150
提交
取消