Аутентификация без пароля с использованием Auth0 и Twilio
Я создаю приложение с использованием аутентификации без пароля с использованием Auth0.com, и есть способ обнаружения аномалий, но, похоже, это только для аутентификации электронной почты с использованием учетных записей. Есть ли способ контролировать количество отправленных смс с помощью twilio.com на определенный номер телефона за определенный период времени, чтобы пользователь не злоупотреблял использованием сервиса.
2 ответа
Конечная точка (https://[tenant].auth0.com/passwordless/start) используется для запуска процесса аутентификации без пароля с помощью SMS с ограниченной скоростью. См. Документацию по ограничению скорости, чтобы узнать, какие заголовки ответа HTTP нужно проверить, если вы хотите знать точные пределы.
Я только что провел быстрое тестирование и получил ограничение в 50 запросов в минуту для этой конечной точки, однако это не настраивается пользователем и также не для номера телефона. Я считаю, что это за IP-адрес, хотя я не подтвердил это.
Вы также можете полагаться на триггеры использования Twilio, чтобы либо получать уведомления о возможных попытках злоупотребления, либо даже реализовывать веб-ловушку, которую триггер будет вызывать для автоматического отключения проверки подлинности без пароля на основе SMS в Auth0, если вы обнаружите уровни активности, значительно превышающие ожидаемые.
Сегодня я узнал, что после многих попыток входа в систему с использованием аутентификации без пароля Auth0 эта учетная запись пользователя была заблокирована. 