浏览器环境过滤方式
多数撸贷撸友在贷超系统里面抓取到甲方链接后, 常常通过微信好友、微信群、qq 好友、qq群 等方式进行发送传播。
基于这个特性,那么甲方借款系统可以直接屏蔽,微信浏览器、qq浏览器环境已达到过滤的目的。
当时多数撸贷是形成自己平台形式,通过系统浏览器打开,那么这种情况下完全无力!
打开网站来源方式
Http协议头中的Referer主要用来让服务器判断来源页面, 即用户是从哪个页面来的,通常被网站用来统计用户来源,是从搜索页面来的,还是从其他网站链接过来,或是从书签等访问。
基于这种方式 贷超可以事先把,自己的域名提供给甲方系统,甲方系统,根据 Referer 进行判断来源,对应开出去的链接用户进到甲方系统以后,如果来源是贷超的域名,那么认为合法
否则非法。
这种方式表面看似没有问题,实际上只要 撸贷平台稍微懂点技术,那么这种方式就是掩耳盗铃之举。 为什么这么说呢原因有几个
- 贷超提供域名那么意味着贷超只能 网页 或者 H5 形式,如果是原生的APP 是没有 所谓打开域名的,所以也无法提供域名。
2 . 即使是H5 或者 网页形式 Http 协议本地是 Referer 就是可以被任意篡改的,撸贷只要修改下协议头把贷超的域名放到协议Referer 里面,照样完美提交。
签名认证方式
签名认证方式,就是 贷超 和 甲方 事先约定一个秘钥。 然后贷超在提交给甲方的链接上 多加入一个参数 sign 做签名。 甲方收到参数以后做认证校验
具体的流程算法可以举例
-
前期准备
甲方给贷超的链接 渠道id = 123
双方约定(各自存取不能对外公布) 秘钥 key= ******
签名算法 sign = md5(time()+key+渠道id) (time 为时间戳,加入time以后 sign 值随着时间会变化,即使被撸贷抓到了,下一秒就变了)
-
贷超签名
根据以上规则,在客户点击贷超链接时候 生成一个 sign 作为参数 传递个甲方页面。注意上面算法的时间错 为了准确。可以统一从甲方系统请求获取。
-
甲方校验
等到请求打开甲方落地页的同时,获取到 sign 进行校验
校验规则 通签名规则,但是中间有个时间的差,所以时间做一定的漂移值处理。
//漂移值为10秒 $flg = false; for( $i=-10 ;$i < 10;$i++){ $time = time()+$i; $mySign = md5($time + $key+ $pid); if($sign == $mySign){ $flg = true; break; } } if($flg){ //校验成功 }此方式为,在作用上,可以完全起到 杜绝撸贷的功能。 但是带来了额外的问题也很突出
-
贷超 和 甲方都需要技术层面
每业务接入一次,需要对接一次签名校验,架设 贷超接入 100款甲方产品。那么要写一百遍类似算法。
姑且我们认为 贷超实力够强,贷超可以去主导这个事情。那么反过来甲方系统要对接很多贷超,甲方系统也要做很多遍这种重复,但是有算法不相同的公众
在目前这种市场情况来看,大多数甲方,是用系统商的系统,贷超也是找外包开发的系统 情况来看,要做这个事情几乎不可能。
-
即使已经按上面算法去做了,其实还是存在 如果贷超的技术水平够高,那么他是不是可以做个机器人。 默认人登录进去系统以后。每次他平台要数据的时候
同时 到贷超平台请求贷超平台的算法去走一遍流程呢。答案也是肯定的!(那如果这样,绕了一大圈最终问题还是没有彻底解决)
总结
这样不行,那也有缺陷。那到底有没有有一种方案能彻底解决到这个问题,而且操作起来相对容易。答案也是肯定的,那就是 资深金融大牛长期行业打磨思考 开发的一套中间平台系统
《欣悦防撸系统》 来解决这个行业大疼点!