• 给裸接口加一道防护,避免恶意盗刷和爬取


    WEB应用是开放的,WEB前端代码也是公开的,和后端交互的接口如果没有经过特殊处理(加密/token),那么就是裸露的,只要知道api地址,那么就能随便获取应用数据。这样应用数据就很容易被人爬取或者恶意盗刷,典型的短信被恶意盗刷。

    公司理财产品的短信接口就是一个裸接口,只要手机号就可以任意盗刷,当然背后有根据手机号,ip地址做了请求限制,但还是不够。后面就加了一定时间内一定请求次数的Token,后面观察,基本没有被刷的迹象,说明新的机制还是起到很大作用。当然这个机制不仅是用于防短信盗刷,可用于任意的裸接口防护。

    原理很简单,就是在web页面请求的时候由后端按一定的算法注入token到页面中去,然后前端可以通过对应的规则取到token,在请求接口数据时带上去就能在后端对token进行验证,验证通过就能正常请求到数据。如果是native app ,可通过加密的方法请求接口来获取token,最简单直接的方式就是native app 客户端使用一段字符串+时间戳(从后端获取)进行加密,然后请求后端接口,接口对数据进行解密,对时间戳对比,在一段时间内认为有效(避免加密信息被拦截,所以加了时间戳校验),从而获取token。

    当然web应用都是公开的,所有源码理论上都是能获取到的。那么后端向web页面注入token的方式也能被破解,所以,后端注入token的形式可定制,比如注入到请求,或者自己实现一套算法,增加被破解的难度。

    把这套机制整理成一个独立的npm包[access-token-api](https://github.com/navyxie/access-token-api),方便多项目复用。


    使用例子:

    npm install access-token-api
    
    //server(nodejs) 端
    
    var accessTokenApi = require('access-token-api');
    var TokenApi = new accessTokenApi({
    webTokenVarName:'encrypt_api_tokenStr',//前端可通过webTokenVarName变量去到token值,默认encrypt_api_tokenStr
    });
    
    //web前端取token值
    window[webTokenVarName] //请求接口时带上这个值就能进行token校验了
    

      

    主要接口

    生成token api `issue`
    验证token api `verify`
    token 有效次数减一 api `decline`

    server 端 将token 注入到 web 前端页面 api `webInject`

    自定义后端注入token到web前端页面的方式,可以初始化模块时自定义webInject参数(函数)

    var TokenApi = new accessTokenApi({
    webInject:function(html,token,callback){
    var htmlEndIndex = html.indexOf('</html>');
    var tokenScript = '<script>window.' + this.config.webTokenVarName + '=' + token + '</script>';
    var prevHtml = html.substring(0,htmlEndIndex);
    var nextHtml = html.substr(htmlEndIndex); 
    prevHtml += tokenScript;
    prevHtml += nextHtml;
    callback(null,prevHtml);
    }
    });
    

      

    项目地址[https://github.com/navyxie/access-token-api],里面有express和sails框架的使用例子,抛砖引玉。

  • 相关阅读:
    win7常用快捷键
    java中构造代码块、方法调用顺序问题
    eclipse项目改为maven项目导致svn无法比较历史数据的解决办法
    linux配置Anaconda python集成环境
    DataFrame对行列的基本操作实战
    驱动:电阻屏触摸芯片NS2009
    读书笔记:代码大全(第二版)
    资料:磁角度传感器芯片
    经验:FatFs文件系统实时写入
    笔记:CAN收发器-TJA1051T与TJA1051T/3调试总结
  • 原文地址:https://www.cnblogs.com/2010navy/p/5572992.html
Copyright © 2020-2023  润新知