Ho l'obbligo di mostrare google reCaptcha al 2 ° tentativo sulla schermata di accesso.
Ma francamente non lo considero il modo di fermare i bot.
Perché dal lato server non posso dire se questo è il primo o il secondo tentativo di login a meno che l'utente scelga di inviare un qualche tipo di cookie insieme alla richiesta in modo da poter identificare il numero di tentativi di accesso che sta provando - quindi il protocollo HTTP è apolidi in natura.
E credo che i bot non siano stupidi nell'inviare alcuni cookie che fanno capire al server qualsiasi informazione su di loro.
Ho sentito parlare di alcune soluzioni sofisticate come uno script js da eseguire sul caricamento della pagina di accesso per generare un id e poi inviare questo id al server e fare in modo che il server verifichi questo id, ma comunque un bot sufficientemente intelligente simula tutte queste azioni. ma questo non è quello che sto chiedendo.
Qualche consiglio?