OTP-API auf Code-Ebene oder Nginx-Ebene sichern?

Question

Szenario:

Ich habe eine OTP generation API. Ab jetzt, wenn ich POST mit der Kontaktnummer im Körper tue, wird es OTP-Code unabhängig davon erzeugen, wie oft es von derselben IP aufgerufen wird. Es gibt keine Sicherheit auf Code- und Nginx-Ebene.

Vorschläge werden akzeptiert, ob die blockierende IP auf Codeebene oder Nginx erfolgen soll. Ich möchte den Zugang zu api 5 mal an einem Tag von der gleichen IP beschränken.

Answer 1

Sie sollten wirklich von der Verwendung der IP als Einschränkung weggehen. Nicht nur kann die IP geändert werden, was einem Intermediär erlaubt, das OTP wiederzugeben.

Eine Kombination aus Besuchs-IP und zusätzlichen eindeutigen Vektoren würde als eine bessere Methode dienen, den Besucher zu identifizieren und das OTP mit seinem Zugriff zu verknüpfen.

Aus diesem Grund wäre die Drosselung, die Sie implementieren möchten, besser auf Code- oder Anwendungsebene als auf Ihrem Webserver bereitgestellt. Sie sollten dies auch tun, um das OTP und die damit verbundenen besten Praktiken besser zu schützen. ablaufen, nur einmal verwenden usw.