如果这是一个有点愚蠢的问题我很抱歉,但我对REST编程领域很陌生。我有一个Web,移动和机器可访问的应用程序,我将利用类似REST的Web服务用于移动和机器部分。我打算将REST身份验证模型用于REST请求,但这需要设置用户帐户。
如果用户通过iPhone或其他移动设备启动对服务的使用,安全创建用户帐户的最佳方法是什么?现在,任何人都可以创建一个帐户,该帐户将被创建为非活动状态,然后通过电子邮件链接激活到CAPTCHA网页。但我担心这可能会导致DOS攻击,因为每个请求都会生成一封电子邮件。
关于改进此模型和/或确保请求的任何建议实际上都来自iPhone?
答案 0 :(得分:1)
一个好的CAPTCHA可以防止这种DOS攻击。
答案 1 :(得分:1)
在发送电子邮件链接之前需要CAPTCHA ,即在申请帐户时。