如何防止前后端分离的项目被爬或者被做成辅助工具？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 1930 天前的主题，其中的信息可能已经有所发展或是发生改变。

现在用户是登录鉴权后返回给前端一个 token，这个 token 过期时间很长，一般是几天。然后别人就能拿到这个 token 肆意请求后端接口了。

那么现在如何防止这种情况发生？有没有其他动态加密或者验证的方法？

token

防止

过期

加密

17 条回复 • 2019-07-29 10:41:20 +08:00

nyanyh

2019-07-27 23:12:56 +08:00

token 时间缩短
限制后端 API 单位时间内访问次数
检测前端环境指纹（ webrtc/canvas 之类），发现变化较大直接拉黑 token+访问者 IP

nyanyh

2019-07-27 23:14:49 +08:00

或者模仿淘宝之类，在前端使用一个复杂混淆的 js 存放一套动态参数校验算法，访问后端接口时验证此参数

liuxey

2019-07-27 23:20:00 +08:00

了解下反爬方面的知识，最基本的 UA、IP 什么的不说了，主要是行为方面，总结下：
一个人类不可能 1s 内访问特殊接口>N 个
一个人类不可能连续 N 小时访问你的 API
一个人类不可能连续请求某一个接口，但是参数在做遍历，如 id=1...id=999
一个人类不可能只请求 API 接口而不请求资源文件

oppoic

2019-07-27 23:21:24 +08:00 via iPhone

楼上的做法可以，但是为了一个或者几个捣乱的就加规则无疑增加了服务端的负担，毕竟大部分用户都是正常用户。我建议后端加上接口访问统计即可，每天扫一眼哪个 token 访问接口次数不正常，手动封一下该用户即可。

victor

2019-07-27 23:48:40 +08:00

@oppoic 那它可能会用多个 token 呢。比如 10 个 token 每次请求 API 的时候随机选一个。

cs3230524

2019-07-28 10:49:43 +08:00

目前的环境是微信小程序。所以：
2 楼的办法应该是没啥用的，我了解过淘宝这个。攻击者可以很轻松拿到这个 js 而不用考虑具体算法，直接用载入这个 js 调用函数来模拟生成参数。始终都是前端都东西。
现在用户数据很容易获取到，所以 3、4 楼的办法也基本无效，封了他可以再重新申请。

unclemcz

2019-07-28 13:00:05 +08:00 via Android

接口加时间戳参数和根据时间戳加密的 token，加密代码混淆，可以防绝大部分场景，但还是防不住有经验的人反编译小程序包 wxapkg 拿到加密代码。

lscho

2019-07-28 13:14:17 +08:00 via Android

2 楼 3 楼的办法是正确的，也是常用的。不明白为什么说无效？

2 楼的办法就是自己实现一个签名算法，前端混淆一下，后端进行验证，只要算法没有被破解，或者定期更换前端 key，就肯定是安全的。
3 楼的办法也很实用，行为验证这个肯定没法破解，目前阿里系都是行为验证。比如你登录页面是从首页链接过来的，那么没有请求首页接口，直接请求登录接口肯定是异常的。只请求接口，不请求静态资源，肯定也不是真人。如此规则多检测几条行为，绝对破解不了。