怎么防御.api接口
API接口保护通常有以下几种类型:使用HTTPS防止抓包。使用HTTPS至少会增加破解者抓包的难度。加解密接口参数,通过md5(salt)加密数据+时间戳+随机字符串,然后将MD5加密数据、时间戳和原始数据传输到后台,后台指定有效时长。
如果解密后的数据在这段时间内与原始数据匹配,则认为是正常请求;可以使用aes/des等加密算法,也可以加入客户端的本地信息作为本地加密和混淆的依据。很容易被反编译和破解。,建议放在单独的模块中,函数名越晦涩越难读,越安全。
UserAgent和Referer限制了API保护认证的认证,包括设备认证和用户认证。可以通过检查session等方法来检查用户是否登录api。限制每分钟的通话次数。可以使用session或者ip来限制定期监控、查看日志、检测异常接口访问,如果不懂技术可以直接购买主机的高安全IP进行防御,同时有TB.-DDOS级别的防御能力,可以将API接口攻击造成的损失降到最低。
页:
[1]