方式一:设置客户端IP黑/白名单
1.1客户端所有请求,请求到代理服务器(nginx),代理服务器维护黑/白名单的ip,决定是否转发请求;
1.2项目创建一个filter,拦截所有请求,在filter的方法中,通过request信息匹配ip黑/白名单,和url的拦截规则,决定是否合法;
有点:简单粗暴;
确定:需要客户端的IP固定;
应用场景:为系统的后台管理服务,客服需要人工审批和通过涉及到钱财的业务;
方式二、请求参数Sign签名
2.1前端请求发起http请求,对参数排序,然后使用参数与私钥拼接,在进行md5加密等方式,生成一个签名出来,一起发给服务端,服务端这边获取到参数,签名,再使用自己的私钥进行同样方式的加密生成签名,比对签名是否一致。一致则认为合法,不一致则不合法。担水无法防止重复请求攻击;
2.2针对上面方法升级,可以缓存每次请求的MD5值,或者每个请求添加uuid+随机数这样一个代表请求序号的标识。然后请求到服务端时,服务端想办法缓存起来起来这个标识,每次请求过来时,判断是否已经请求过。
2.3在请求的参数中和签名结果里,假如时间戳这个参数,业务服务器一方面比较签名结果,一方面根据时间戳,来认证请求的合法性,比如允许请求的时间戳与服务器当前时间,存在20秒的误差等自定义规则。超过20秒的合法请求,服务器也不处理,防止恶意的重复请求。
方式三、请求方式换成Https。
http请求过程:
建立TCP连接——>客户端向服务器发送请求命令——>服务器应答——>关闭TCP连接——>客户端接受到服务器响应的数据
ssl(secure sockets Layer 安全套接字协议)