问如何在不使用CAPTCHA的情况下保护应用程序的注册API免受垃圾邮件发送者的攻击？

EN

这个问题对于StackOverflow来说不是很理想，但我记得我曾经遇到过同样的问题，因此我只是分享我的实现。

是的，验证码对于移动应用来说是一个糟糕的糟糕的用户体验。这应该被避免。是的，我当然也避免了验证码的实现。

Dos攻击可以通过很多方法来防止，而且已经有一些非常成熟的技术可以做到这一点。您可以从服务器端容器中的特定IP地址跟踪命中，如果需要，还可以暂时阻止该IP地址。如果是分布式攻击，您可以考虑忽略超出您能力范围的请求。

这些是一些微不足道的建议。您可以考虑在您的服务器端也有一个防火墙，这可能会给这些内置支持。CloudFlare是目前应用最广泛的防火墙之一。

有太多的选择，你可以采取预防dos攻击。只需在您的服务器端选择其中一个即可。对于你的web应用程序，你可能会考虑保留一个google re- captcha，但是对于移动应用程序来说，显示验证码的想法是可怕的。

在我目前的工作中，我们正在开发一个叫做HumanDetect的被动移动captcha SDK。它对您的最终用户是透明的。它会抓取传感器数据，以确定手机是否被人持有。

1:您需要为端点的呼叫设置IP检查和API调用率/秒，以限制来自同一IP的呼叫。

2:更简单的方法，在数据库中记录进行调用的IP并对其进行检查，(将给数据库带来沉重的负载，因为调用通过您的web服务器层)，如果调用通过，您可能没有一个安全的服务器来保护您免受DDOS攻击。