• app防攻击办法


    方法一

    要求请求端带上一个随机字符串state(也可以是特定规则生成的,甚至是从服务器上请求过来的),服务端(用过滤/拦截器之类的实现不会影响业务代码)收到之后缓存一定的时间(长短视业务和硬件),每次请求都检查state值是否在缓存中存在(或者是否符合规则,或者是否由服务器生成),如果存在抛弃或者给出特别的响应,第一个被接受的请求就按照正常处理。
    需要注意的是,判断并缓存这是要一个原子操作。

    方法二

    请求头里带用户username和password,到服务器端做验证,通过才继续下边业务逻辑。
    有点:防止了服务器端api被随意调用。
    缺点:每次都交互用户名和密码,交互量大,且密码明文传输不安全。

    方法三

    第一次请求,要求username和password,验证通过,种cookie到客户端,app保存cookie值。
    每次请求带上cookie。
    点评:和pc上浏览器认证的原理一样了。

    方法四

    制定一个token生成规则,按某些服务器端和客户端都拥有的共同属性生成一个随机串,客户端生成这个串,服务器收到请求也校验这个串。
    缺点:随机串生成规则要保密。
    比如:一个使用PHP框架的工程,框架每次交互都会有 module和action两个参数做路由,这样的话,我就可以用下边这个规则来生成token

    app要请求用户列表,api是“index.php?module=user&action=list”
    app生成token = md5sum ('user'.'2012-11-28'.'#$@%!'.list) = 880fed4ca2aabd20ae9a5dd774711de2;
    实际发起请求为 “index.php?module=user&action=list&token=880fed4ca2aabd20ae9a5dd774711de2”

    服务器端接到请求用同样方法计算token

  • 相关阅读:
    WordPress怎么禁用古滕堡编辑器(Gutenberg)
    .Net Framework 4.0安装cmd命令
    Windows服务器一键要打开多个软件或一键关闭多个软件
    Photosho 切换英文版教程
    解决宝塔面板无法停止Tomcat方法
    只要系统镜像就能制作可启动安装系统U盘
    [网摘]分享一段流量劫持JS代码
    Script http跳https
    linux系统 标准目录及其内容
    centos7 永久修改主机名
  • 原文地址:https://www.cnblogs.com/hzzll/p/6845352.html
Copyright © 2020-2023  润新知