Sto sviluppando un sito Web che ha la registrazione dell'utente. Ho già sviluppato alcune tecniche di protezione del limite di velocità usando nginx e un livello inferiore usando iptables, ma sono preoccupato per attacchi reali come l'ip-spoofing o DDoS.
L'unica soluzione che conosco è il CAPTCHA di Google, che viene utilizzato anche da grandi aziende come Reddit e Gitlab. Il problema è che non è amichevole sui dispositivi mobili e tablet, e inoltre mette i visitatori fuori.
Esistono metodi puliti ed economici per le alluvioni di richieste HTTP POST? Ho pensato di aggiungere un token casuale temporaneo ai parametri POST che è memorizzato anche sul mio server per uno o due secondi usando Redis per verificare se la richiesta è automatizzata (cioè veloce) o da un umano (lento). Non voglio convincermi che questa è una soluzione affidabile poiché non sono un esperto di sicurezza.