是否可以以某种方式使用recaptcha和auth0来避免让用户登录但仍然有令牌?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了是否可以以某种方式使用recaptcha和auth0来避免让用户登录但仍然有令牌?相关的知识,希望对你有一定的参考价值。

我有一个应用程序,客户端,使用auth0访问服务器上的不同API。但现在我想添加另一个应用程序,一个单页应用程序,我将使用VueJs,这个应用程序将“理想地”打开用户不必登录,它就像一个功能减少的演示,我只是想要检查用户基本上不是机器人,所以在这种情况下我不会暴露我的API。

我的想法到目前为止: - 以某种方式完全使用recaptcha和auth0。 - 然后有一个新的服务器,它将验证调用是仅对允许的端点进行的(这不是我对问题的兴趣),所以即使以某种方式验证了auth,它也不会让真正的服务器对所有人开放电话类型。 - 将呼叫与持有者令牌一起传递给服务器,就像我使用其他旧的客户端应用程序一样。

这可行吗?现在我强迫用户验证,这是关于UX(用户体验)的更多事情,但我想要一种避免这种情况的方法。我知道,只有使用auth0我不能这样做see this post from Auth0,所以我期待在我提到的之间混合。

编辑: 我坚持在这两种情况下进行验证,但我仍然有兴趣就此作为未来的参考。

答案

最后,根据auth0如何工作的概念,这个想法是不可能的,所以我的方法如下:给临时认证(auth 0)访问者一个具有受限访问级别的令牌,然后将请求传递给新的中间服务器,想法是加密真实的ID,以便前端认为它正在请求项目A123456etc,当它确实将在中间服务器中解密以投影456y-etc并且给出白名单时它将决定将请求与令牌一起传递对于最终服务器,最终服务器具有减少xss和Ddos威胁的措施。

无论如何,如果有更好的决心,我会改变接受的答案。

以上是关于是否可以以某种方式使用recaptcha和auth0来避免让用户登录但仍然有令牌?的主要内容,如果未能解决你的问题,请参考以下文章

如何识别 ReCaptcha V2 的 32 位数据站点密钥以使用 Selenium 和 Python 请求以编程方式获取有效响应?

从 API 中访问 Auth0 登录用户?

ios 每次都需要 reCAPTCHA 与/firestore auth (Flutter)

jwt 通过 httponly cookie 提供服务,以某种方式找出 is-logged-in

是否可以以某种方式在表格行周围设置边框?

Laravel 5.3 Auth 阻止用户