我正在考虑将OpenID作为我的PHP应用程序的登录方法,但有一件事阻止了我的继续:我如何保护OpenID使用者免遭滥用?如何保护OpenID消费者免受滥用?
An example of abusing OpenID by using a consumer as proxy
滥用包括洪水其他服务器与要求,用我的应用程序作为代理,通过一个大的下载网址为不必要的或通过做大量的请求减缓服务器。
我想我应该对做请求实行速率限制,但我该怎么做呢?可能的攻击者可以使用其他代理或TOR绕过IP检查。限制允许的提供者会违反OpenID的原则吗?
我不指望我的用户是邪恶的,但我想知道在添加另一个可能的攻击媒介之前需要考虑哪些事项。
重要的是,我将使用lightopenid作为PHP应用程序的后端。
客户端IP地址似乎是一件好事,可能使用C类部件来进一步降低滥用机会。 – Lekensteyn