我即将在我们的网站上实现RESTful API(基于WCF数据服务,但这可能无关紧要).
通过此API提供的所有数据都属于我的服务器的某些用户,因此我需要确保只有这些用户才能访问我的资源.因此,所有请求都必须使用登录/密码组合作为请求的一部分执行.
在这种情况下,推荐的防止暴力攻击的方法是什么?
我正在考虑记录因错误凭据而被拒绝的失败请求,并在超过某个失败请求阈值后忽略来自同一IP的请求.这是标准方法,还是我缺少一些重要的东西?
由于NAT网关的数量,基于IP的阻塞本身就存在风险.
如果客户端快速发出太多请求,您可能会减慢(tar pit)客户端的速度; 也就是说,故意在响应之前插入几秒钟的延迟.人类不太可能抱怨,但你放慢了机器人的速度.
京公网安备 11010802040832号 | 京ICP备19059560号-6 