求大佬给点思路,web api 接口怎么防止被恶意重复访问?

@locoz 涨见识了

如果是私有接口弄个 ssl 双向认证

每隔一段时间给你客户一个你的证书与私钥， 参考农行的 K 宝

app 签名方式 防不住大佬的。就像 #13 说得一样，加一些风控吧，验证码这些 增加破解难道 .

谷歌翻译的 secret 字段大佬都能给你破译出来 哈哈哈 不过现在好像没有用了

Nginx 可以限制请求频率

首先要注册，实名制使用接口，然后在注册鉴权这部分拦截，微信有 token 但是 token 也是人获取的可以查到是谁

限流呗，如果是恶意攻击前端加密也不靠谱的。

如果简简单单就能解决，那些做 cyber security 的早去开滴滴了

看看重放攻击的解决方案

对称加密签名

约定大于配置

没有绝对的安全
如果是没有登录的接口：可以根据 IP 去限制并发量这是最简单的
然后就是前端 JS 生成 token 后端进行效验具体细节 自己研究 参考 国外 CloudFlare 俗称五秒 cdn 最开始几代很容易破解其实。目前第三代还是有一定难度 JS 有混淆 vm 加密之类的解密很耗精力
登录之后的接口:其实可以直接 redis 限制并发为 1 这样？再配合 nginx 完成一些基础的限制
上面都是我瞎想的没有实践经验

https://docs.konghq.com/hub/kong-inc/rate-limiting/
看下这个呢？不知道满不满足需求

假定你的接口叫 api,GET 请求, 且传递的参数是 data=abc 。

为了防止恶意重放攻击，可以实现如下:

api?data=abc&time=时间戳&code=1000&hash=xxxx

其中 hash 规则是 md5(abc + 时间戳 + 干扰码)

时间戳和 time 的保持一致，为了后端做超时检测, 干扰码和 code=1000 存在对应关系。

即你有一张表,事先生成了一堆序号和干扰码,干扰码对应的序号只有你和 APP 知晓，保证不能泄漏(实际上坏人需要花时间破解)

你每次收到消息后按照同样的方法计算 hash 比较，发现 hash 比对不上，就说明数据被篡改，时间戳超时可能是重放。服务器就直接丢弃，返回错误给前端

验证码

@ye4tar 感谢解答,我准备采取类似方法.