后端接口被盗用有什么好办法么?

2019-07-27 07:24:27 +08:00
 jaskle
我们软件是小程序和手机 APP,小程序打开后是匿名就能够看到的资源信息,就像一个新闻页。但是发布不久就被别人抄了,页面做的稀烂功能一样,接口用的我们的。但是由于是匿名可以访问,所以只要反编译小程序就能看到 JS。恶心的一批。想问大家有什么办法不?
10545 次点击
所在节点    程序员
65 条回复
xujialiang
2019-07-27 07:30:38 +08:00
小程序里限制 openid 的调用次数频率
jaskle
2019-07-27 07:32:12 +08:00
@xujialiang 没啥用,他小程序直接用的我们的接口,他们连后台都没有,0 成本。
xuanbg
2019-07-27 07:32:55 +08:00
匿名可以访问就没办法了
wangsongyan
2019-07-27 07:34:21 +08:00
能不能把小程序的 AppId 传到后台,你再加个验证
whileFalse
2019-07-27 07:34:25 +08:00
改接口,对于老版本接口随机返回反动言论,然后趁对方没发现举报之
echotpq
2019-07-27 07:34:53 +08:00
设置来源,接口 ip 限制等等
wangsongyan
2019-07-27 07:34:56 +08:00
@whileFalse 这波操作真是 666
KuroNekoFan
2019-07-27 07:35:19 +08:00
你们接口不需要 token 校验什么的吗,
z7356995
2019-07-27 07:35:28 +08:00
我以前是在第一次请求页面发送一个随机且唯一 rss public key. 然后以后每次请求都用这个 key 加密,服务器上再解开。因为不是明文,每个请求的 key 又不一样,可以难道一般菜鸟吧
flyzero
2019-07-27 07:52:54 +08:00
referer 限制就好了,应该每个小程序对应一个的
TypeNANA
2019-07-27 07:58:29 +08:00
请求头里面有 appid,可以借这个来确定请求 app 来源
lasuar
2019-07-27 08:04:50 +08:00
后端接口谁写的,别人随便调?
lasuar
2019-07-27 08:10:31 +08:00
sorry 没看清。相当于你的接口被别人破解了,可以 referer+appid
wangxiaoaer
2019-07-27 08:15:46 +08:00
@TypeNANA 对方通过服务器反代怎么办?限 IP ? 很多共用公网 IP,限流容易被误伤。
hhyvs111
2019-07-27 08:16:42 +08:00
鉴权都不做的吗?
tanszhe
2019-07-27 08:22:15 +08:00
多简单的事情
加个中间件 通过 jscode 验证一下不就完了
其他人知道接口也无法调用
treblex
2019-07-27 08:37:27 +08:00
既然是新闻,在正文加个二维码不就行了🤣🤣
zgl263885
2019-07-27 08:48:56 +08:00
某种角度来讲,反爬只能提高门槛,不能完全杜绝
xenme
2019-07-27 09:14:27 +08:00
不定时更新下小程序,然后给他的前端返回错误的垃圾内容
jaskle
2019-07-27 09:15:13 +08:00
@whileFalse 你这个操作好像挺溜,不过危险系数太高。
其实麻烦就在于匿名访问,就是不需要注册,研究了一下腾讯之类的,他们是 web 不允许跨域,而且加了 referer,所以别人偷不了。但是小程序只要设置 ip 白名单就行,他也不管这个 ip 是谁的,哎,恶心

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/586612

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX