前后端分离如何保证接口不被滥调用？

1. 鉴权
2. 验签
3. 限流

没意义

不鉴权的 API 和公开 html 一个意思

怎么你不问防止别人滥访问你的首页

限制调用次数，或者做 token 验证，一段时间内的响应次数等等吧，方法挺多的

不能保证不被滥用, 反而是让爬虫更方便了, 之前还要解析 dom, 现在一个 json 搞定 美滋滋

token 啊，公开的数据有公开的 token
鉴权的数据要有带鉴权的 token

字体文件解君愁
拿到 json 没有意义

调用次数多了直接上验证码

1.短 token 调接口，长 token 获取短 token
2.token 限时间一定时间内调用次数
3.签名验证机制，v2ex.com/t/699346

就我长期爬接口的经验，100 个网站也没有 1 个对公开数据做保护的

验证码

接入阿里的滑块，滑动通过放行

关注一下 这个确实头大

要找到区别普通用户与爬虫用户的点。以下是我战斗的经验。

1. user-agent,refer, host 等等
2. 自定义一些复杂的逻辑用 js 生成 cookie 然后后端验证（耐克网站）
3. 限流，限制单个 ip 一分钟可访问次数
4. 自己开发或使用第三方验证码

但是你要记住，无论你的验证机制多复杂，你都无法完全屏蔽非正常用户。用户能访问到的，爬虫一样也可以。

需要鉴权的(一般是后台管理接口)统一鉴权，可以验证身份的必须验证 token，没法验证 token 但可以验签的(开放平台接口)必须验签，连验签都不能做的(如商品浏览、注册登录)就只能限流了。

前端不会乱调用 出现这种情况内部沟通或者从技术管理制度里去要求改正

如果是防止外人搞破坏 你们接口加入签名措施即可 这样外人无法伪造参数请求