如何防止接口被恶意刷量?

为了防止被恶意刷量,本能地想到要用限流。

当然,除了限流,还有其他的一些方式:

1.在前后端约定一套加密算法和一个密钥

在前端把所有参数按照字母进行排序,再加上密钥生成一个签名,将其放在请求头里传给后端。

在后端用和前端一样的规则生成一个签名,如果两个签名对不上,很明显参数在传输的过程中被篡改了,可以直接拒绝,从而防止攻击者随意地修改参数来刷接口。

2.如果攻击者截获可一个合法的请求包,在改不了参数的懊恼下,他直接疯狂地重复发送这个包。这种攻击方式的解决办法是:

在后端先对时间戳进行校验,如果是超过了60秒的请求,则直接丢弃;

如果请求是在60秒以内的,再检查随机数是否在Redis中已经存在,如果是已经存在,说明这是个重复请求,直接拦截掉。

3.当系统检测到某个用户存在频率稍高,但是还没到限流阈值的异常行为或者在进行注册、领券等较为敏感的操作时,强制弹出滑块验证码,从而对人和脚本进行区分。

4.如果发现某个IP存在于IP黑名单或者用户的ID黑名单中,可以直接在网关层对这个IP进行封禁,不让它进入到业务层。

相关推荐
黒亱中旳6 小时前
Java AI 框架三国杀:Solon AI vs Spring AI vs LangChain4j 深度对比
java·人工智能·spring
网络工程小王6 小时前
[智能对话系统架构设计文档]
java·系统架构·langraph
alxraves6 小时前
医用超声远程会诊系统:会诊平台的核心架构与功能解析
java·人工智能·架构
带刺的坐椅6 小时前
用 Solon AI ReActAgent 落地智能客服工单处理
java·ai·llm·agent·solon·react-agent
我是坏垠7 小时前
Crypto、Cipher与Password:Java加密开发的三个核心概念
java·开发语言·python
white_ant7 小时前
JDK LTS 版本升级迁移注意事项大全
java·开发语言
Bobolink_8 小时前
跨境业务网络环境评估,“干净、一致、独享”三个关键指标
开发语言·网络·php·跨境网络·网络环境
你怎么知道我是队长8 小时前
JavaScript的变量和数据类型介绍
开发语言·javascript·ecmascript
xingke8 小时前
C 语言多文件编程:(一)头文件、extern、编译链接
c语言·开发语言·多文件
戮漠summer9 小时前
Missing Semester 计算机教育中缺失的一课 Lecture 01 Shell
开发语言·后端·scala