前段时间,智能手机应用程序通常使用CAPTCHA打开浏览器到注册页面,或者需要通过网络单独注册,因为API注册被视为易受攻击。
现在大多数应用程序似乎都通过本机形式提供注册,尽管这些应用程序的端点通常没有在其公共API中记录。我没有看到很多关于这种情况被滥用来创建垃圾邮件帐户的报道。
这是怎么做到的?是否有标准的加密/握手过程来验证实际注册,或注册通常依赖于未记录的端点和简单的API密钥传递?
答案 0 :(得分:1)
嵌入会产生更好的体验,但是您提到的问题。是的,另一端的服务所有者仍然担心这一点并解决问题。未记录的API没有帮助,服务所有者也知道这一点。
这些天工具箱中的工具之一是分配给可用于限制的设备的密钥。这基本上可以让你限制每个设备可以消耗的服务费用,并且它需要你有一个设备(或者可以从一个设备窃取密钥)以便提供服务。只要向新设备发布密钥的过程很强(一个可解决的问题),那么您可以在您愿意为设备提供的范围内提供无CAPTCHA的注册体验。
我还要注意,您可以使用其他众所周知的方法,例如IP限制和与其他服务提供商(如电话运营商)的握手。根据问题领域,这些也在桌面上......