Защита регистрации на сайте от специальных созданий аккаунтов через http запросы
Когда пишут простую регистрацию (логин, пароль и т.д) данные же как сохраняются. Пользователь вводит свои авторизационные данные, на фронте их получают и через http запрос кидают на бекенд, и там уже происходит сохранение в базу данных. Но любой пользователь может посмотреть куда уходит запрос через браузер и тело запроса. Потом зайти, например, в Postman (сервис для тестирования api) и отправлять кучу запросов на сервер, и создавать много аккаунтов. Как можно защититься от такого? Добавить какие нибудь уникальные поля? Или, например, email и/или телефон сделать обязательными?
Ответы (1 шт):
Во-первых, в любом случае Вам необходимо иметь уникальное поле - это может быть почта/номер телефона/никнейм. Никнейм обычно используют в связке с почтой или номером телефона (с подтверждением), что добавляет сложности злоумышленнику (Не получится создать много аккаунтов, не имея большого пула номеров и доступом к ним).
Во-вторых, имея "защиту" в виде уникального номера, ни один сервис не защищен он создания "кучи" аккаунтов.
Другой способ обезопасить себя от большого количества аккаунтов, использовать OAuth2.