限制来自 IP 的请求数

Question

我正在编写一个应用程序，其中要求限制用户可以从单个 IP 地址进行的登录次数（作为阻止垃圾邮件的一种方式）。 由于某种原因，我们不能使用验证码！

我能想到的唯一实现这项工作的两种方法是将来自每个 IP 的请求数存储在数据库中。 或者 存储具有相关信息的跟踪 cookie。

现在，第一种模式的缺点是数据库流量过多 - 该应用程序将被大量人使用。 将此信息存储为 cookie 的缺点是用户可以清除它们并重新开始。

如果有办法处理高数据库流量和基于 cookie 的跟踪的松散结合，我需要建议。

Answer 1

您正在谈论“登录”和网络应用程序，因此您有某种会话持续存在somwhere。创建这些会话时，您需要跟踪每个 IP 的活动会话数，并且在达到该阈值时不分配新会话。

如果没有关于您的框架/环境的更具体信息，这就是任何人都可以提供的最佳答案。

还要注意，由于 NAT（网络地址转换），这种方法在很多方面都失败了。例如，我们的办公室正好有一个供 X 百人使用的公共 IP 地址。内部网络位于私有 IP 空间。

Answer 2

如果你想获取 IP 并存储在某个地方，你可以使用$_SERVER['REMOTE_ADDR'] 来获取用户的 IP，在你的数据库中创建一个类似“ip”的字段，然后在你的 SQL 中进行查询以检查是否使用了 IP。 还有其他的追踪方式，比如Flash Cookie，一般人不知道它的存在，所以大部分人都不知道怎么清除。