Diese Frage ist nicht sehr ideal für StackOverflow, aber ich erinnere mich, dass ich einmal in dasselbe Problem geriet und daher teile ich nur meine Implementierungen.
Ja, das Captcha ist eine schlechte schlechte Benutzererfahrung für eine mobile Anwendung. Dies sollte vermieden werden. Und natürlich habe ich auch die Captcha-Umsetzung gemieden.
Dos Angriff kann auf so viele Arten verhindert werden und es gibt bereits einige sehr etablierte Technologie dafür. Sie können den Treffer von einer bestimmten IP-Adresse in Ihrem Server-Container verfolgen und die IP-Adresse vorübergehend blockieren, wenn Sie möchten. Im Fall von verteilten Angriffen sollten Sie in Betracht ziehen, die Anforderungen zu ignorieren, die Ihre Möglichkeiten übersteigen.
Dies sind einige triviale Vorschläge. Sie können erwägen, eine Firewall auf Ihrer Serverseite zu haben, die diese eingebauten Unterstützungen mit sich bringt. CloudFlare ist eine der weit verbreiteten Firewalls.
Es gibt zu viele Optionen, die Sie vorbeugend auf DOS-Angriffe anwenden können. Wählen Sie einfach einen von ihnen auf Ihrer Server-Seite. Im Falle Ihrer Webanwendung könnten Sie erwägen, ein Google-Re-Captcha zu behalten, aber für mobile Anwendungen ist die Vorstellung, ein Captcha zu zeigen, schrecklich.
Nichts von alldem viel mit der Client-Seite zu tun hat, so dass ich empfehlen, dass Sie Ihre Tags und Ihre Erklärung schalten Sie den Server-Umgebung zu beschreiben. – CommonsWare
Sie können die Rate nach IP beschränken und Captchas nur bei verdächtigem Verhalten anzeigen. – SLaks
Es gibt keine Silberkugeln für diese Art von Problemen. Erlaube nur eine Registrierung per IP, ein Captcha, oder die Notwendigkeit, eine echte Mailadresse zu haben, sind alle bekannten Lösungen. – JFPicard