Я рассматриваю OpenID в качестве метода входа в мое приложение PHP, но есть одна вещь, которая мешает мне продолжить: как я могу защитить потребителя OpenID от злоупотреблений?
Пример злоупотребления OpenID с использованием потребителя в качестве proxy
Злоупотребления включают заваливание других серверов запросами, использование моего приложения в качестве прокси, передачу большой загрузки в качестве URL-адреса или излишнее замедление работы сервера за счет выполнения большого количества запросов.
Думаю, мне следует установить ограничение скорости выполнения запросов, но как я должен это сделать? Возможные злоумышленники могут использовать другие прокси или TOR для обхода проверок IP. Ограничение разрешенных провайдеров противоречило бы принципам OpenID, верно?
Я не ожидаю, что мои пользователи будут злобными, но я хотел бы знать, какие вещи мне нужно принять во внимание, прежде чем добавлять еще один возможный вектор атаки.
Если это важно, я собираюсь использовать lightopenid в качестве серверной части для приложения PHP.