问题描述
我有一个网站,允许免费使用一个带有文本框和按钮的应用程序。用户可能会使用它 10 次,因此我调用了 10 次验证码。然而,这加起来是一笔我无法继续负担的荒谬费用。我需要一个解决方案来跟踪成功的验证码,以便如果成功,用户只会收到一个验证码。
我的想法:
- 成功验证码
- 在 redis 中存储真实的用户标识符(散列 IP、用户代理和 WebRTC(不完全知道这是什么,但我被推荐使用它))
- 未来的调用通过检查用户的哈希标识符(90 天的 TTL)来检查用户是否有效
还有其他建议或建议吗?有什么潜在的问题吗?
PS:有关此用例中 WebRTC 的信息也会有所帮助
解决方法
我决定使用 IP 和 User-Agent 的散列,因为我从客户端获取的所有东西都可能被欺骗(即使 User-Agent 也可以)。为了对抗欺骗,我添加了 ip 速率限制。
现在,在从客户端进行 API 调用之前,我会先调用以验证用户是经过验证的用户(我认为经过验证的验证码是 24 小时内的非机器人验证。随着时间的推移,我会搞砸这一点) .
这应该可以有效地减少 60% 的验证码调用。