Estoy desarrollando un sitio web que tiene registro de usuarios. Ya construí algunas técnicas de protección de límite de velocidad usando nginx y en un nivel inferior usando iptables, pero estoy preocupado por los ataques del mundo real como ip-spoofing o DDoS.
La única solución que conozco es CAPTCHA de Google, que incluso es utilizada por grandes compañías como Reddit y Gitlab. El problema es que no es fácil de usar en dispositivos móviles y tabletas, y además desalienta a los visitantes.
¿Se conoce algún método limpio y barato para las inundaciones de solicitudes HTTP POST? Pensé en agregar un token aleatorio temporal a los parámetros de la POST que también se almacena en mi servidor durante uno o dos segundos usando Redis para verificar si la solicitud está automatizada (es decir, rápida) o por un humano (lento). No quiero convencerme de que esta es una solución confiable ya que no soy un experto en seguridad.