接口如何防刷

为什么会有人要刷接口?

1、牟利

黄牛在 12306 网上抢票再倒卖。

2、恶意攻击竞争对手

如短信接口被请求一次,会触发几分钱的运营商费用,当量级大了也很可观。

3、压测

用 apache bench 做压力测试。

4、当程序员无聊的时候


什么是刷接口的"刷"字?

1、次数

2、频率

频繁,可能 1 秒上千次

3、用户身份难以识别

可能会在刷的过程中随时换浏览器或者 ip


判断接口是否是恶意?

根据用户粒度,如果该用户符合上面提到的“刷”的概念,就是恶意的。


用户粒度如何划分?

1、当前网页

优点:无
缺点:没有任何意义,一刷新页面用户的身份就变了

2、session

优点:伪造成本一般(可以理解成一个浏览器对应了一个用户)
缺点:当用户手动清除 cookie 的时候即失效

3、ip

优点:伪造成本高
缺点:要考虑一个公司、一个小区的人一般会共享一个 ip,所以适当的要放宽对单一 ip 的请求限制

ip 信息是存在请求头里的,而 https 对请求本身做了加密,可以防止 ip 信息被伪造或篡改。所以推荐服务器采用 https 传输。


当知道接口是恶意请求时,我们该怎么做?

一、直接拒绝访问

优点:简单粗暴
缺点:简单粗暴

二、返回“操作频繁”的错误提示

优点:提示友好
缺点:会把确实是操作比较频繁的真实用户拦截

三、验证码

1、图形

2、滑块

3、找不同

优点:精准识别请求是真人还是机器发出的,二次筛选出真正的用户
缺点:不够人性化,用户操作时间长、体验差

4、限制ip

 

客户端请求的时候 , 把ip记录下来,每次访问这个ip访问次数+1,如果查过制定次数,把这个ip拉黑


总结

安全问题是长期的和攻击者斗智斗勇的问题,没有一劳永逸的解决方案,不断交锋,不断成长

  • 4
    点赞
  • 4
    收藏
  • 打赏
    打赏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:大白 设计师:CSDN官方博客 返回首页
评论 1

打赏作者

前端阳光

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值