api是安全防範重災區,實戰中防守時常用7個辦法:
1、 圖形校驗碼和手機驗證碼進行綁定,有效的防止惡意攻擊。大部分應用都採用。
2、 限定請求次數,服務器端限定同一IP位址,同一設備,同時間範圍內的接口請求次數。重復發送的設定足夠時間間隔每天最大的發送量
3、 流程條件要求細緻,將驗證放在最後進行
4、 監測用戶的IP所在地與手機號歸屬地是否匹配。
5、 服務器接口驗證,服務請求接受後,返回一個由Token簽名生成的祕鑰,然後對每次後續請求進行Token的封裝生成,服務器端驗證是否一致。
6、 api接口開啓https訪問,可以防止假IP。
7、採用服務器代理可以有效的防止接口真實地址的暴露。
