Я знаю, как реализовать аутентификацию на основе токенов. Но меня беспокоят действия пользователя, такие как регистрация, вход или проверка, против атакующих ботов. Я могу себе представить бота, отправляющего запросы через поддельные телефонные номера, и мой SMS или почтовый сервер ответит на все из них! Или тысячи зарегистрированных пользователей находятся в таблице пользователей в базе данных, которые являются поддельными и не проверенными. Я знаю некоторые стратегии брандмауэра для блокировки таких атак и трафика на сетевом уровне. Но можно ли защитить «неаутентифицированные» HTTP-действия с помощью кода Captcha или другим способом?
Если да, то как отправить изображение капчи с сервера API на клиент? в RAW? если отправить капчу можно, то как определить, какая капча для какого клиента? Сессия может быть полезной?
Спасибо за внимание.