目前我遇到了一个问题，我正在做一套用户登录的api，将来这套api是给pc和app上共同使用的，那么问题来了，如何防止api被暴力破解？如果对方只使用一个账号进行密码匹配还好，我可以记录账号的登录次数，超过了一定次数就将该账号冻结，但是问题来了：假如我拿到600W账号+密码，一次遍历输入，很有可能就撞到一个匹配的账户，限制ip也不可靠，因为伪造ip实在太简单，那么该怎么解决这个问题呢？如果每次都设置验证码，用户体验太差，验证码被机器识别也只是时间问题，不知道大家怎么解决的？ 6.4更新：我其实一直想的是，如果可以拿到机器的唯一标识，类似mac地址的东西最好，这样就可以避免攻击者在一台机器上刷api，无论他不停换ip换账号都没用，可惜拿不到，于是就想问问大厂们是怎么解决的。