今年組長給了幾個任務,其中有兩個是關於對外介面的安全控制:
前端驗證元件
利用瀏覽器js加密的技術訪問介面,防止惡意使用者越過瀏覽器直接訪問我們的介面。
人機識別
在介面端再做一層檢測,區分呼叫者來自普通使用者還是工具模擬,進一步防止惡意打介面的行為。
主要研究的方向在於如何提取使用者行為,因為工具模擬是沒有一般的使用者行為的。
可能的實現方式:獲取瀏覽器安裝元件資訊,計算出乙個標識id,介面拒絕此id的高頻率呼叫。
問題描述只是我個人的想法,不知道有沒有什麼比較好的解決方案?
防止API被惡意呼叫
一 身份鑑定。這個可以使用oauth2.0規範,或者帶有不對稱金鑰加密的token,選擇jwt等形式,配合身份鑑定系統來保證。二 內容防篡改。可以使用數字簽名演算法來進行雜湊校驗,強制https通訊。最新的系統可以考慮http 2。三 ddos 攻擊。通過設定防火牆,控制api呼叫頻.率,例如協議的...
防止惡意呼叫API介面
1 驗證碼 最簡單有效的防護 採用點觸驗證,滑動驗證或第三方驗證碼服務,普通驗證碼很容易被破解 2 頻率,限制同裝置,同ip等傳送次數,單點時間範圍可請求時長 3 歸屬地,檢測ip所在地是否與手機號歸屬地匹配 ip所在地是否是為常在地 4 可疑使用者,對於可疑使用者要求其主動發簡訊 或其他主動行為 ...
如何防範簡訊介面被惡意呼叫(被刷)
鑑於之前遇到過簡訊介面被刷的問題,解決的不是很好。現發現一篇如此高質量部落格,特此收藏分享 簡訊轟炸一般基於 web 方式 基於客戶端方式的原理與之類似 由兩個模組組成,包括 乙個前端 web 網頁,提供輸入被攻擊者手機號碼的表單 乙個後台攻擊頁面 如 php 利用從各個 上找到的動態簡訊 url ...