如何防止别人恶意调用API接口?

7天前发布 15 0 0

Zaker

保密 | php程序猿一枚!热爱程序,喜爱编程!
1 / 验证码(最简单有效的防护),采用点触验证,滑动验证或第三方验证码服务,普通验证码很容易被破解

2 / 频率,限制同设备,同IP等发送次数,单点时间范围可请求时长

3 / 归属地,检测IP所在地是否与手机号归属地匹配;IP所在地是否是为常在地

4 / 可疑用户,对于可疑用户要求其主动发短信(或其他主动行为)来验证身份

5 / 黑名单,对于黑名单用户,限制其操作,API接口直接返回success,1可以避免浪费资源,2混淆黑户判断


6 / 签名,API接口启用签名策略,签名可以保障请求URL的完整安全,签名匹配再继续下一步操作

7 / token,对于重要的API接口,生成token值,做验证


8 /  https,启用https,https 需要秘钥交换,可以在一定程度上鉴别是否伪造IP

9 / 代码混淆,发布前端代码混淆过的包

10 /  风控,大量肉鸡来袭时只能受着,同样攻击者也会暴露意图,分析意图提取算法,分析判断是否为恶意 如果是则断掉;异常账号及时锁定;或从产品角度做出调整,及时止损。

11 / 数据安全,数据安全方面做策略,攻击者得不到有效数据,提高攻击者成本

--------------------- 
作者:初见-子非鱼 
来源:CSDN 
原文:https://blog.csdn.net/a895458278/article/details/78655461 

赞赏支持

登录 后发表评论
0条评论
    还没有人评论过~