关于微信刷票会被发现吗及活动主办方防止微信投票刷票行为的一些思考

关于微信刷票会被发现吗及活动主办方防止微信投票刷票行为的一些思考

微信投票在这几年一直很热门，只要是个活动往往都做一个投票的功能。刷票已形成了一个庞大的产业链但如何防止刷票行为就很让人头疼了。首先要清楚微信的刷票行为，微信投票是根据openid来判断一个用户是否已投过票。openid是加密后的微信号，每个用户对每个公众号的openid是唯一的。

这个判断依据有较大的漏洞，就是只能判断openid是否重复，但无法校验openid是不是真实的。而且就算openid是真实的，刷票软件也有批量的正确openid。刷票软件就是通过使用HttpClient等类似客户端发包，把openid和投票信息post至服务器。由于刷票软件动态伪装ip，拥有大量openid，很容易就在没有完善防刷的应用投大量的票。

几种防止刷票的方法

1、只有关注了公众号才能投票

在服务调用获取用户基础信息的API

接口会返回以下数据:

当用户投票且未关注时，我们可根据subscribe是0还是1判断有没有关注，若没有关注则转至公众号的二维码页面并提示用户先长按二维码关注公众号。此方法的缺点就是每次投票都要与微信服务器进行交互。

2、判断refer和User-Agent

以下为一个request header的部分参数示例：

Referer为上一个访问的页面，所以refer必须要为投票的页面地址。
User-Agent里面必须有关键词MicroMessenger

3、限制客户端投票次数

用ip当成同一个ip投票次数受限制，由于很多时候使用nginx或apache之类的代理服务器，因此直接使用HttpServletRequest的getRemoteAddr()很多时候取得的是代理服务器的ip，而我们要取得的是真实的ip址。

下面是一个获取真实ip的示例代码

4、当投票量大于阅读量时就是刷票行为

存储页面阅读量，投票完成后，计算票数若投票量大于阅读量时就是刷票行为。
5、在提交表单数据的地方使用校验码

服务端返回一个校验码，在dom初始化的时候页面使用js加密这个校验码，commit的时候提交这个加密的校验码，服务端再判断这个加密码的校验码是否正确。校验码设置使用N次后就作废。
以下为伪代码:

服务端处理:

转载于:https://blog.51cto.com/13800688/2127250