 |
voneV2EX 第 185755 号会员,加入于 2016-08-06 21:25:51 +08:00 |
vone 最近回复了
1 天前 回复了 noobma 创建的主题 › 程序员 › 有没有对接开发过华为/小米手环服务的大佬 |
1 天前 回复了 BruceXHe 创建的主题 › Vue.js › 关于前端 token 安全问题 |
同 .NET Core,现在做 .NET 的同行好像越来越少了。
我可以从做爬虫的角度,给你几个改进方向:
1 、取消 clientId , clientKey 获取 token 的逻辑,因为没有 clientId 、clientKey 会让分析接口的人更怀疑人生;
2 、对获取 token 相关接口改为参数改为密文( RSA+其他的魔改操作),加密函数一定要混淆,且不能完全使用某种公开算法;
3 、对请求参数增加时间戳和签名;
4 、下发 token 时检测浏览器常见全局变量和之前预留的监测点数据(尽量防止 selenium/puppeteer 这种无头浏览器和程序的模拟请求),这一点可以参考淘宝或者其他大厂的反爬策略。
5 、未登录下发的 token 使用增加频率限制,高频使用时墙掉对应 IP 。
6 、随机抽取访问频率偏高但未达到 5 的 token 让其登录或输入验证码。如果对应 IP 未登录或输入验证码,而是转而获取新 Token,就可以墙掉对应 IP 。
4 、5 、6 需要在服务端进行校验,检测内容和接口可以偶尔进行升级。
我可以从做爬虫的角度,给你几个改进方向:
1 、取消 clientId , clientKey 获取 token 的逻辑,因为没有 clientId 、clientKey 会让分析接口的人更怀疑人生;
2 、对获取 token 相关接口改为参数改为密文( RSA+其他的魔改操作),加密函数一定要混淆,且不能完全使用某种公开算法;
3 、对请求参数增加时间戳和签名;
4 、下发 token 时检测浏览器常见全局变量和之前预留的监测点数据(尽量防止 selenium/puppeteer 这种无头浏览器和程序的模拟请求),这一点可以参考淘宝或者其他大厂的反爬策略。
5 、未登录下发的 token 使用增加频率限制,高频使用时墙掉对应 IP 。
6 、随机抽取访问频率偏高但未达到 5 的 token 让其登录或输入验证码。如果对应 IP 未登录或输入验证码,而是转而获取新 Token,就可以墙掉对应 IP 。
4 、5 、6 需要在服务端进行校验,检测内容和接口可以偶尔进行升级。
1 天前 回复了 Kamio 创建的主题 › 问与答 › 无聊水,感觉还在读大专的赶紧转行吧(以后会更怀疑人生的 |
你这是自己没学会吧
2 天前 回复了 WangStormstout 创建的主题 › 随想 › 我的几个酒肉朋友突然一起我发了前女友的结婚证,就差吹唢呐。 |
"机器官方回复。" 啥 ????
3 天前 回复了 xtx 创建的主题 › 程序员 › 何同学新一期的视频创意真的很好。 |
3 天前 回复了 xtx 创建的主题 › 程序员 › 何同学新一期的视频创意真的很好。 |
“我不喜欢。” + 1,5g 那期确实火的莫名其妙。
9 天前 回复了 ffffb 创建的主题 › Visual Studio Code › VS Code 究竟轻量在哪? |
Select Language