API サインアップは脆弱であると見なされていたため、少し前までは、スマートフォン アプリがブラウザーを開いて CAPTCHA 付きの登録ページを開いたり、Web 経由で別のサインアップを要求したりするのが一般的でした。
現在、ほとんどのアプリはネイティブ フォームを介して登録を提供しているようですが、このためのエンドポイントは通常、公開 API で文書化されていません。これが悪用されてスパム アカウントが作成されたという報告はあまり見たことがありません。
これはどのように行われますか?実際のサインアップを検証するための標準的な暗号化/ハンドシェイク プロセスはありますか? それとも、サインアップは通常、文書化されていないエンドポイントと単純な API キーの受け渡しに依存していますか?
埋め込みはより良い体験をもたらしますが、あなたが言及した問題があります。はい、反対側のサービス所有者はまだこれについて心配していて、問題と戦っています。また、文書化されていないAPIは役に立ちません。また、サービス所有者はこれを知っています。
最近のツールボックスのツールの1つは、スロットルに使用できるデバイスに割り当てられたキーです。これにより、基本的に、デバイスごとに消費できるサービスの量を制限でき、サービスを提供するためにデバイスが必要になります(またはデバイスからキーを盗むことができます)。新しいデバイスにキーを発行するプロセスが強力である限り(解決可能な問題)、デバイスに提供する内容の範囲内でCAPTCHAフリーのサインアップエクスペリエンスを提供できます。
また、IPスロットリングや、他のサービスプロバイダー(電話会社など)とのハンドシェイクなど、使用できるよく知られたアプローチが他にもあることにも注意してください。問題のドメインに応じて、これらもテーブルにあります...