场景:
我有OTP generation API。截至目前,如果我使用正文中的联系号码POST,它将生成OTP代码而不管多少次,它会被同一个ip调用。代码级别和nginx级别没有安全性。
是否应该在代码级别或Nginx上阻止IP,建议被接受。我想在一天内限制从同一IP访问api 5次。
答案 0 :(得分:0)
你真的应该放弃使用IP作为限制。不仅可以更改IP,允许中间人重播OTP。
访问IP和其他唯一向量的组合将成为识别访问者并将OTP与其访问权限相关联的更好方法。
因此,您希望实现的限制将更好地在代码或应用程序级别与Web服务器相比。你也应该这样做,以便更好地保护OTP和与之相关的最佳实践;到期,只使用一次等等。