前端js是解释型语言,用户可以直接获取到源码,容易作弊,比如直接修改血量(无限血量、永远不死)、直接刷接口(发奖)。针对这种现状,可以通过以下手段一定程度保证不出现事故。
-
接口隐藏能力:混淆、加密等手段增加破解接口的难度
-
异常感知能力:记录疑似作弊用户行为,超过阈值报警
-
一键止损能力:被爆破后,一键停服止损
-
快速升级能力:停服后能够迅速升级加密机制
接口隐藏能力:
-
前端代码混淆,让用户无法直接轻易读懂源码
-
接口内容加密:
-
-
request_path/request_body/response_body都采用aes256加密
-
对称密钥隐藏&更新:
-
-
初始密钥:首页加载时,请求服务端某个图片地址http://a.com/head.jgp,服务端把密钥追加在图片末尾
-
后续密钥通过每个response更新, 本次request密钥来源于上次请求的reponse
-
-
-
迷惑性response: 不给前端返回任何错误信息,有可疑行为均记录服务端日志, 增加接口参数调试的迷惑性
-
杂音参数:每次请求可以添加n个无用的杂音参数,增加接口调试难度
异常感知能力:
-
记录用户可以行为
-
-
解密失败
-
奖励数据超过配置阈值
-
阶段数据之和与总数不符合
-
-
定时扫描可以行为数据,绝对值、百分比,超过阈值则发送报警通知
一键止损能力:被爆破后,可以迅速拉黑用户、更换低价值配置数据、一键停服
快速升级能力:
-
停服后能够迅速升级加密机制,提前准备多套加密机制,发现问题后前端及时发版。
-
甚至可以,前端定期发版,更新加密机制,使现行的作弊手段失效
111
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
