如何防止机器人和垃圾邮件 API 请求？

Question

我正在使用 react-native 开发 Android 应用，并且该应用与我正在为该应用开发的 API 进行通信。该 API 是使用 Laravel 和 Laravel Passport 构建的。

我知道 Android 应用程序可以反编译，因此可以轻松找到存储在应用程序中的任何密钥。这就是我目前采用这种方法的原因。

您只能在注册期间获得访问代码。该应用程序使用匿名帐户，因此如果您丢失了访问令牌，那就太糟糕了。该应用程序向 /api/register 发出 API 请求，该请求创建帐户并返回访问令牌。该应用程序将存储令牌并使用它来发出进一步的 API 请求。

问题在于注册路由不使用任何客户端机密或访问令牌。自动化路由请求并创建机器人大军非常容易。我可能会像许多 API 提供商那样限制请求的数量，但这并不能解决问题。

我听说过有效载荷散列，但这通常需要应用程序和 api 中的盐。同样，这是不安全的，如果有人知道垃圾邮件请求的盐分，就不能自己散列吗？也许我误解了有效载荷哈希的工作原理。

希望有人可以提供帮助。

Answer 1

您可能想要使用一些东西来检测用户代理是否命中了路由。这个包有很多有用的功能：jenssegers/agent。例如，它提供爬虫检测：

$agent->isRobot();

根据您的托管服务提供商，您可能有权使用在每分钟 X 次请求（或其他指标）后自动将 IP 地址列入黑名单的工具。我知道 AWS 提供这项服务。

另一个选项是antonioribeiro/firewall。根据 IP 或地理位置跟踪用户并相应地重定向/阻止。

Answer 2

我现在就在这个路口，我要走的路线是让用户解决一个简单的难题：

1. 应用/网络上的注册过程收到来自我的注册服务器的挑战
2. 通过输入字段向用户显示挑战：电子邮件/用户名、密码和挑战的答案输入
3. 全部发送到注册服务器，如果答案不正确，则拒绝注册

这个“你是人类吗”挑战将阻止机器人注册，因此它需要比编写机器人代码更聪明一些，因此在服务器上选择各种挑战会很好。 我正在考虑“从下拉列表中选择第 n 个值”、“选择第一个/最后一个选项”、“写下颜色‘蓝色’”或“3 到 5 之间的整数”等等，对于哪些变量可以很容易地由服务器生成，挑战和答案输入可以很容易地通过注册脚本创建，并且用户解决起来很容易且不会很耗时。

我将探讨的另一个选项是通过 IP 限制请求，并结合黑白名单。