→ pttworld: 圖片驗證可以使用請選其中五間潛力公司的logo。 10/01 12:04
→ plcder: google搜索也在堵機器人我剛剛也被google圖形驗證 10/01 12:19
→ bbser: 我書讀得少,想問一下呼叫API怎麼做圖形驗證? 10/01 12:53
推 deanh: 這不難,你一個API吐出hash跟一個base64編碼的圖片,用戶 10/01 13:17
→ deanh: 端必須把base64編碼的圖片轉成真是圖形之後 10/01 13:17
→ deanh: 在用原hash code+圖片內文送一次api拿到這個api token 10/01 13:18
→ viper9709: 這個方法好 10/01 13:26
→ bbser: 你們是不是把呼叫API和使用者操作搞混了? 10/01 13:28
→ bbser: 聽起來像是兩個API Call阿,第二個API call就是解法,這用c 10/01 13:29
→ bbser: srf 不就可以解決了嗎? 10/01 13:29
推 sean72: 這是一個方式。但是有兩個問題: 從使用者角度,我希望做到 10/01 13:30
→ sean72: 除非"必要",不然不登入,減少擾民的狀況,讓大家會來我的 10/01 13:31
→ sean72: 網站。 10/01 13:31
→ sean72: 而且別人架設的前端,應該也可以模擬我自己的前端, 10/01 13:33
→ sean72: 進而取得token之類的,然後進行api存取吧? 10/01 13:34
→ bbser: 只要是public API都會有這個問題,除非你定義何謂「必要」 10/01 13:35
→ bbser: ,然後做在你的API param裡面。 10/01 13:35
推 sean72: "必要": 例如留言,想分享到fb等等 10/01 13:39
→ sean72: 有些網站強迫使用者一定要登入的,我都覺得好討厭 10/01 13:40
→ bbser: 如果你要公開,但又要有限制,在Header裡放token是個解法, 10/01 13:43
→ bbser: token設計是門學問,有很多best practice 可以研究一下。 10/01 13:43
→ bbser: 你那個不叫「必要(滿足什麼條件才能呼叫API)」,那叫「 10/01 13:45
→ bbser: 需求(API提供什麼功能)」 10/01 13:45
→ sean72: 我的意思是 除非萬不得已 不然我不希望使用者圖形驗證 10/01 13:51
→ sean72: 或是使用者登入 等等的 10/01 13:51
→ bbser: 我舉個例子好了,如果我有一支API是add(int a, int b) 10/01 13:52
→ bbser: 這時候呼叫Api的人怎麼做圖形驗證? 10/01 13:53
→ bbser: 如果可以圖形驗證,那已經有UI了不是?有介面的情況跟API c 10/01 13:54
→ bbser: all不同阿? 10/01 13:54
推 Masakiad: 完整的方法是綁token後分析呼叫api的行為,把像機器人 10/01 13:59
→ Masakiad: 的token ban掉。 10/01 13:59
→ bbser: 你要的是認清敵我關係,讓有token的人做事,沒token的人食 10/01 14:02
→ bbser: 屎。token怎麼做才不會被仿造是API developer 的工作。 10/01 14:02
→ bbser: 圖形驗證,登入可以視為token來源,通過了才有token,有tok 10/01 14:04
→ bbser: en才能做API call. 10/01 14:04
→ bbser: 而不是在API call當下做圖形驗證或登入,這是ui flow。 10/01 14:05
→ bbser: 簡單說如果有token就是200,沒有就是401。 10/01 14:05
→ TSW: 不想圖形驗證的話就用reCAPTCHA? 10/01 16:33
→ TSW: 講到這邊已經快變成 UI/UX 問題了 10/01 16:36
推 mepowerlmay: 機器人都可以下棋了 還不聰明嗎 10/02 14:24