Aller au contenu

Machine-to-Machine ALTCHA

M2M ALTCHA est un système de vérification machine à machine (M2M) conçu comme un limiteur de débit mis en œuvre du côté du consommateur. Il assure la protection des ressources précieuses, atténue le spam et prévient les abus au sein des services en ligne et des API tout en garantissant l’accessibilité continue aux systèmes automatisés.

Flux d’utilisation

  1. Demande d’action coûteuse :

L’expéditeur initie une demande pour effectuer une action gourmande en ressources sur le serveur distant, comme la création d’un nouveau compte, en utilisant le point de terminaison HTTP :

POST /create_account
  1. Réponse du serveur avec défi :

Après avoir reçu la demande, le serveur distant répond avec un code d’état 401 Unauthorized et inclut un en-tête de défi dans la réponse :

WWW-Authenticate: Altcha algorithm=SHA-512, challenge=..., salt=..., signature=...
  1. Calcul de la solution et nouvelle soumission :

L’expéditeur calcule la solution au défi reçu et inclut la solution dans une demande ultérieure en ajoutant un en-tête de solution :

Authorization: Altcha algorithm=SHA-512, number=..., challenge=..., salt=..., signature=...

Complexité

Contrairement aux appareils grand public, les environnements serveur possèdent généralement des capacités de calcul plus élevées. Par conséquent, les défis conçus pour les serveurs doivent exiger un niveau plus élevé d’effort de calcul par rapport aux appareils grand public.

En tant que principe directeur, il est recommandé de définir le nombre maximum dans la plage des “dizaines de millions” lors de la génération d’un nouveau défi. Ce seuil garantit que la tâche de calcul reste suffisamment difficile pour les systèmes serveurs, nécessitant des ressources de calcul substantielles et du temps pour calculer une solution.

En savoir plus sur l’ajustement de la complexité.

Objectif et avantages

  • Protection des ressources

    Empêche les abus de ressources en imposant un défi de calcul avant d’autoriser des actions gourmandes en ressources.

  • Atténuation du spam

    Agit comme une barrière contre le spam automatisé ou les tentatives d’accès non autorisées.

  • Accessibilité continue

    Assure que les systèmes automatisés peuvent accéder aux services tout en dissuadant les activités malveillantes.