羊了个羊只要发请求就可以通关，如何在设计层面避免这种情况

你该不会是作者吧[手动狗头]

学 COC 服务器，把玩家通关操作的所有手机点击指令都记录下来，通关后只把操作发给服务器。然后服务器根据玩家操作，独立演算一次，算二次验证。

如果卡片完全消除，就算通关。

不过也没啥用，到最后还是有人会用 AI 来玩游戏刷分。

那又怎样呢？无所谓啊。

你要搞清楚自己的目标是什么。

做这个就是为了卖广告的，会发请求的人，就算不让他们发了，他们会不停刷关看广告吗？

既然不会，那为什么要花成本去管？要说影响其他用户积极性，后台隔段时间清一下数据不就完了。

工程这个事吧，就是够用的情况下，成本越低越好。手段都是为了目的服务的。

不知道从哪说起好，要不你先百度百度帧同步吧



还有一个更前提的问题是，你的设计目标图的是什么？有人能发请求跳通关，是会影响付费率？

后台存储每一场游戏的地图数据，前端每操作一步或几步都去和后台进行同步，在后台验证是否通关。
你可能会问，这服务器压力不就大了么？对，这就是代价

现在还能刷吗？之前刷的都清零了。

如果是微信小程序，最简单的改造：用云函数 来发送通关请求

云函数 经过微信的 mmtls 协议传输。

mmtls : 微信现有的安全通信协议是基于用户登录的时候派发的 SessionKey 对应用数据进行加密的

只能说门槛会更高，现在的 微信协议、各种 hook 已经能够支持 模拟请求云函数了。

或使用，小程序提供的接口：“小程序加密网络通道” 也能提高伪造的门槛，需要去解密微信的加密 或者 hook 微信的程序。

为了避免小程序与开发者后台通信时数据被截取和篡改，微信侧维护了一个用户维度的可靠 key ，用于小程序和后台通信时进行加密和签名。
开发者可以分别通过小程序前端和微信后台提供的接口，获取用户的加密 key 。
https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/user-encryptkey.html

@ICB 实测那个接口可以正常 200 返回，但是已经不算通关次数了

@letitbesqzr 这个看起来不错

赞同 #3 楼说法，不过也补充一个最简单做法：

一局游戏不可能在 5 分钟内通关。

开局一个请求，记录游戏开始时间，结束一个请求，记录结束时间，

通过这种方案降低刷分频率，然后搞一搞防沉迷，一天不能玩太多次，或者通过其他的游戏设计让作弊无法被其他普通玩家识别。

比如：每天只能通关一次，后面再通关只更新用时。

这样，作弊也只能：大家都是 一天一次，用了 5 分钟。

@tool2d
@registerrr
我也这样考虑过，这个是个很好的办法，但是就是代价有点大

@Mithril 只是单纯的想从技术角度考虑一下，如何解决这个问题

我觉得单纯加 https ，然后客户端拒绝信任用户自定义证书就行了

@InDom #11 你搞了防沉迷，还怎么让用户看广告赚钱😏

看到旁边有人通过了，玩得更起劲了

@registerrr #15 听说赚了两套 200 平的大平层，这防沉迷一开，怕是连个 80 平的小户型也买不到了

@FstarKing 我这个就是从技术角度考虑的啊。
在这个场景下，从技术角度考虑，这根本不是需要解决的问题。

另外反作弊和反破解，网站的安全防护等等是一样的，都是成本问题，而不是单纯的技术问题。
你要反作弊，防护等级越高，本质上就是要把越多的计算移到服务端来做。但你就算只扔个瘦客户端给客户，也防不住输入模拟+图像识别。除非强制开启摄像头。

最简单的，每局游戏保存生成地图的随机数种子。然后用它作为请求参数后台验证。这个可以防止你直接构造请求，用微信的加密更好一些。
同时也可以用它在后台做个模拟器，让用户发过来每步的点击操作，直接重放判断是否通关。这个性能消耗也不算太高。

但要我是开发肯定哪个都不做，就定期登上去清理一下看不顺眼的数据。反正热度过去了服务器都不用续费的东西，还不如想想这么多钱要干嘛。现在这个状态，多写一行代码就算我输。

2 楼 5 楼的方法是正解，游戏防作弊，主要要求就是记录玩家操作，然后服务器端运算验证。
但是我看了一下游戏说明好像是 3 消类游戏？那用算法解就很快了。那就只能检测客户端输入的有效性，基本上无解

@oldshensheep 没事 这游戏大部分实例都是无解的，就算拿算法也只能快速地刷到确认无解