如何做未登录接口的防刷功能？

这可是个难题，验证码都换了多少代了，还是可以刷。

微信体系最简单，登录后直接拿 id 做限流就好。
H5 没啥好办法，只能上验证码。按 ip 其实是最简单的，但是有误杀的风险。

限流 了解一下

产生费用的接口往往是比较低频的——短信验证码。这种接口被刷是有可见的成本的，那就各种图形验证码，IP 限流第三方风控拉满。
没有什么成本的接口就单纯限流呗，其实我觉得封 IP 并不是什么问题，不是什么国民应用想误伤也没那么容易...
可以学习抖音这种，注册设备 ID 之后依据这个限流，小程序其实更简单 ID 就完了。

IP+UA 标识用户，加点验证码
我觉得 UA 标识有时比 IP 要更靠谱一点，毕竟挂代理还是比较简单的

@dtsdao 感觉 import fake_useragent 也不复杂。。。

访问第一页数据的时候给一个 token，只有用这个 token 才可以反问下一页，然后类推。不管你怎么换 UA 还是 IP，都没有意义，令牌就是身份标识。然后结合统计限流即可。

@Mutoo 那我反复请求 token 咋整？

@azh7138m 验证码增加自动获取 token 的难度呗

你把要刷的用户转给我，刷我的接口。有人刷还不好。还防。17、18 年前我建的论坛深夜常常有几个妹子灌水，我看的开心死还来不及，还防，不切实际。

@areless 你怎么知道是妹子，而不是女装？

@azh7138m 那也只能刷前几页的少量数据。如果想刷之后的数据必然会被跟踪，限制频率。