14回答

素胚勾勒不出你

1）给你API的用户发放验证Key，对请求的数据内容按双方定义的规则结合Key进行编码，后端拿到请求后解码校验是否符合预期，并设置每个Key的访问频率~~内容不符合预期直接拒绝响应访问过于频繁，那么此用户在一定时间内不允许访问~~~2）还可以发放SSH私钥/公钥的方式来保证~~~

0 0

0

胡说叔叔

给你一个简单的方案：判断请求来源是不是ajax，如果不是，则拒绝请求。那么来自ajax的请求，可以进行计数，如果单位时间请求过于频繁的话，禁止请求（这样会武断的屏蔽掉一个IP后面有一家大公司的情况）。如果是ajax的话，你根本不能判断对方是不是恶意请求，因为它很有可能真的来源于你自己的页面。

0 0

0

慕雪6442864

一般就是token，还有就是来源。。。这就杀了一片了。

0 0

0

没找到需要的内容？换个关键词再搜索试试

向你推荐

如何网站能够防止mysql注入

如何防止网站刷点击量？

如何防止公开的接口被恶意调用？（如首页接口和搜索页面的接口）

我想问个后端问题，平常开发的web网站后端开发和app后端接口开发有什么不同呢？

蝴蝶不菲

做好后端验证是最重要的。传递的数据可以用js加个密，能略微增加一些抓包的难度

0 0

0

Cats萌萌

http协议的无状态特性决定了是无法彻底避免第三方调用你的后台服务。前面几位说的方法都有一定的作用，包括crsf、接口调用频率、用户行为分析等从某一些方面来说都是只能增加第三方调用的难度而已。12306网站就是最好的实例

0 0

0

小怪兽爱吃肉

登录数据可以用session，如果不需要登录的，可以用参数密钥时间认证。 test.php?a=1&b=2&time=12345678&code=xxxxxxxx就是认证码，简单点可以用md5(a1b2time12345678passwd),即参数列表，加上当前时间，加上密码。你可以使用多个密码，即一个客户端一个密码，每个客户端发一个appid，即增加一个参数，`test.php?appid=1&a=1&b=2&time=12345678&code=xxxx`，这样可以随时修改一个客户端的密码，或者丢弃某个客户端请求。

0 0

0

HUX布斯

非法访问通常使用认证来解决，方法很多session，oauth等等。对于合法的认证访问通常需要进行访问频率和次数的限制，各种API框架都有支持，比如Django restframework的throttling。对于拒绝服务时的访问，通常需要在更前端做控制，比如在nginx上配置rate limit。

0 0

0

扬帆大鱼

参照各大开放接口，做一个token验证，每次发起请求必须带验证。就不会被随意调用了。

0 0

0

慕容3067478

HTTP请求支持鉴权,用base auth 做访问身份验证.或者用oauth2对请求做认证.

0 0

0

RISEBY

试试Oauth验证

0 0

0