NodeJS에서 같은 소스의 두 요청을 어떻게 식별합니까?

Question

내 경우는 간단합니다.

같은 원점에서 오는 요청에 대해 식별하고 일종의 규칙을 적용하려면 응용 프로그램 계층 솔루션이 필요합니다.

남자가 우편 배달부, 브라우저 또는 cURL에서 내 서버를 요청하는 경우이 사람을 식별하고이 정보로 무엇인가를하고 싶습니다.

내 경우에는 언젠가 내 서버를 공격 할 사람을 블랙리스트에 올리고 싶습니다.

Node/Express에서 가능합니까?

Answer 1

요청이 시작된 방법 (브라우저, cURL, 우편 배달부, node.js 앱, PHP 앱 등)에 관계없이 사용자가 요청 뒤에있는 사용자를 알려주는 웹 요청과 함께 제공되는 uber 식별자는 없습니다. ..).

이 질문은 새로운 웹 개발자들 사이에서 꽤 자주 일어납니다. 결국은 두 가지로 요약된다 : 당신의 서비스를 사용하기 위해 해당 계정에 로그인 서비스의 모든 이용하여 로그인 자격 증명을 요구하고 그들의 사용을 추적, 계정이있는 사용자가 요구하는

1. 사용 가이드 라인을 충족하는지 확인하십시오. 그렇지 않으면 해당 계정을 금지 할 수 있습니다.

2. 계정, IP 주소 또는 둘 모두의 조합으로 사용자를 제한하는 속도입니다. 특정 속도 제한을 초과하면 액세스 속도를 늦추거나 액세스를 거부 할 수 있습니다.

브라우저는 브라우저 쿠키를 통해 반복 사용자를 식별 할 수 있도록 쿠키를 제공합니다. 그러나 이것은 쿠키를 지움으로써 패배시킬 수 있습니다. 쿠키는 브라우저마다 있지만 동일한 장치를 여러 장치 또는 여러 브라우저에서 동일한 쿠키를 사용하여 상호 연관시킬 수는 없습니다.

cURL과 Postman은 원래 IP 주소 이외의 다른 식별 정보를 제공하지 않습니다. IP 주소를 추적 할 수는 있지만 IP 주소에만 의존하는 데는 몇 가지 문제가 있습니다. 기업 사용자가 모두 같은 IP 주소에서 온 것으로 보이는 프록시를 통과 할 수 있기 때문입니다. 한 명의 사용자가 오작동하는 것을 금지하면 다른 무고한 사용자에게 많은 영향을 미칠 수 있습니다.

Google, Facebook 등 ...이 작업을 수행하는 경우 사용자가 일종의 계정을 만든 다음 요청할 때마다 해당 계정의 자격 증명을 제공해야합니다. 이를 통해 사용자는 필요에 따라 사용 현황을 추적하고 트래픽을 관리 할 수 ​​있습니다. 또한 무료 사용을 위해 일반적으로 API 호출을 수행 할 수있는 빈도를 제한하는 속도 제한이 있습니다. 이렇게하면 단일 사용자가 서비스로드의 적절한 공유 이상을 사용할 수 없습니다. 또한 시스템을 악용하는 계정을 탐지하고 통제 할 수 있습니다.

악의적 인 사용자가 10 분마다 스크립트를 실행하여 자동으로 새 계정을 만들 수 없도록하기 위해 계정을 만드는 방법에 대해 한 걸음 더 나아가 야합니다. 이것도 보호하기위한 다양한 계획이 있습니다. 가장 일반적인 방법은 자동화 된 계정 생성을 방해하는 새로운 계정 (보안 문자, 질문/답변 등)을 만드는 데 인간이 관련되어 있다는 증거를 요구하는 것입니다. 다른 수표에는 유효한 신용 카드, 고유 한 전자 메일 주소 확인 등이 필요할 수 있습니다.