随感:接口防刷

共 633字,需浏览 2分钟

 ·

2020-12-06 10:34

接口防刷


一段时间内接口的请求频率、数量过大。ip一般是不可变的,变化成本相对较高。


判断条件, ip+ua (ua可随便变,判断就失效)


举措,基于数据统计设定阀值


1. ua检测,常见爬虫ua,比如带python字符,禁止访问;referrer判断;

2. 验证码,滑动图片等;需要人工干预;识别机器

3. 请求降速、延时返回、IP限制

4. token验证,校验服务端下发的token与请求的token是否一致,非法token直接丢弃 (可伪造正常请求token后,然后再次请求绕过)

5. 请求数据加密,提高成本,至少需要去了解 前端请求数据组装逻辑


日志分析告警,事后手动干预!!!


限制请求


不要登录的请求:

  • 基于IP

  • 基于设备限制

ip + ua ,存在误杀风险

防止同一设备多次操作?=> 调整成ip + 设备指纹


设备指纹: 理想状况:清掉缓存,换UA等等也是生成相同id。理解上只跟硬件或基本不可变的,比如操作系统相关,需要找相关开源算法,不能完全保证

不然调整为ip + ua + 唯一cookie/或其他参数(可变)


必须登录的请求:基于用户限制


ip + userId

防止相同ip下不同账号多次尝试? => 至少需要申请多个账号

浏览 80
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报