Estoy implementando el pago rápido en mi tienda electrónica.
El cliente solo tiene que ingresar el correo electrónico y el número de teléfono para realizar un pedido, el sistema verifica si el cliente con dichos campos ya está registrado, si no, se registra automáticamente como nuevo cliente y completa el pedido.
Por lo tanto, no hay sesión, no hay cookies o tokens. El problema es obvio, alguien puede enviar miles de solicitudes para hacer un pedido y esto no solo hará que el servidor no esté disponible, sino que también creará una gran cantidad de datos en la base de datos.
¿Cuál es la mejor manera de protegerse de tales ataques? El uso de algo como nonce o el token CSRF no se guardará de los ataques porque no están vinculados a la sesión, no es una sesión.
Por favor, sugiera la mejor manera de protegerse de los ataques en mi caso.