为啥 12306 一个劲防黄牛，防抢票软件，但对外又是开放订票接口的？

这些抢票软件就是在模拟人的操作

楼主给我的感觉就是发现家里门被撬开了，然后很愤怒，防盗门厂为什么明明做了锁，却还是要跟小偷有 py 交易，让小偷可以打开我家的锁。
底下的全部在回复，防盗门厂跟小偷没有 py 交易，是小偷自己撬开的。
楼主很疑惑，防盗门明明应该只有主人可以打开，小偷打开了锁，肯定是 py 交易，没有 py 交易小偷怎么可以打开锁的。
底下的都在解释原理，小偷是通过技术手段撬开了锁。
楼主更疑惑了，为什么防盗门厂不把锁做得只有用这钥匙才能开，而要做得用别的东西也能撬开。
前面的流程都走完了，我感觉下面的话题应该进展到，跟楼主说，防盗门厂家也希望只有钥匙可以打开锁，别的东西撬不开，但是做不到啊。除非不做钥匙孔，甚至不做钥匙孔都有可能用其他方式把门撬开，所以最安全的是焊死。
12306 也想只有在官网可以登陆，别的地方访问不了接口呀，但是做不到啊，除非不让人访问。甚至不让人访问都有可能用其他的方式访问到接口，所以最保险的是服务器断网。

@icy37785 哈哈，我好像钻了牛角了，被你这么一说，我懂了，感谢形象的例子

这叫接口，不叫开放接口

@icy37785 大神

那得把网站停了，然后 App 加壳混淆协议加密，提高模拟难度

前台调用后台的接口，当然有验证机制。最简单的例子，登陆后你会获取一个 token，之后你的请求头中就会带上 token，后台接收到请求时就会验证 token 是否是有效的。

不是听说黄牛都是直接包车厢再分销么。。。根本拦不住。

最差的，我开个脚本，让脚本在浏览器里填资料点按钮，你怎么防护？

页面上 form 表单的 action 也叫做接口了吗。。。

csrf 了解一下

第一次不防，不就挂了嘛

菜得让人心疼...

我其实觉得楼主还是没懂

心疼楼主 5 秒，然后表示，多看书啊

菜的让人心疼。。

12306 不是有官方自带刷票、自动购票功能吗？我看到那些抢票网站也就官方那些功能而已，无非帮你挂机。

黄牛都是直接卡票，一键推取。很恶心

懂的太少，想得太多

@icy37785 比喻恰当，防盗门厂商提供接口（锁眼）