我们目前正在与Twilio的Authy手机验证API建立集成。
文档没有具体说明恶意用户在尝试验证短信代码时向verification/check端点发送大量猜测的情况会发生什么。
我认为Authy必须有适当的东西来防止这种情况,但是没有明确说明,我想知道我们是否需要在我们自己的API中构建一些保护(例如猜测计数器限制)集成代码。
答案 0 :(得分:3)
Twilio开发者传道者在这里。
Authy内置了手机验证限制。每个验证码最多可以尝试5次,以避免暴力破解代码。
我试图找出为什么没有记录,但与此同时你不应该自己构建保护措施。