怎么防御.api接口

    API接口保护通常有以下几种类型：

    使用HTTPS防止抓包。使用HTTPS至少会增加破解者抓包的难度。加解密接口参数，通过md5(salt)加密数据+时间戳+随机字符串，然后将MD5加密数据、时间戳和原始数据传输到后台，后台指定有效时长。
    如果解密后的数据在这段时间内与原始数据匹配，则认为是正常请求；可以使用aes/des等加密算法，也可以加入客户端的本地信息作为本地加密和混淆的依据。很容易被反编译和破解。，建议放在单独的模块中，函数名越晦涩越难读，越安全。
    UserAgent和Referer限制了API保护认证的认证，包括设备认证和用户认证。可以通过检查session等方法来检查用户是否登录api。限制每分钟的通话次数。可以使用session或者ip来限制定期监控、查看日志、检测异常接口访问，如果不懂技术可以直接购买主机的高安全IP进行防御，同时有TB.-DDOS级别的防御能力，可以将API接口攻击造成的损失降到最低。