我正在考虑使用 AWS API 网关进行身份验证。我需要实施某种速率限制以防止滥用。 AWS 通过 IP 地址提供速率限制。但是,允许的最低频率是 100 个请求/5 分钟/IP 地址。我觉得这种方法不能抵御蛮力攻击,因为每天/IP 可能有 28,800 个请求。理想情况下,我希望通过基于编程 API 的身份验证。是否有任何解决方案。
如果我可以通过 3 - 6 个请求 / 15 分钟(减少 100 倍)的 IP 速率限制速率,我对这种方法感到非常满意。但是,我认为 AWS 不提供此解决方案。是否有其他提供商可以通过 HTTPS 提供 REST API POST 方法,并通过 3 - 6 个请求/IP 地址的 IP 进行速率限制?
我有注册和密码重置的电子邮件验证。我应该在登录时添加电子邮件验证吗(我认为没有必要)?所有这些身份验证组件都是基于 API 的。
我应该接受由 IP 限制 API AWS 速率的限制,还是应该考虑一种新的身份验证方法?