后端接口被盗用有什么好办法么?

2019-07-27 07:24:27 +08:00
 jaskle
我们软件是小程序和手机 APP,小程序打开后是匿名就能够看到的资源信息,就像一个新闻页。但是发布不久就被别人抄了,页面做的稀烂功能一样,接口用的我们的。但是由于是匿名可以访问,所以只要反编译小程序就能看到 JS。恶心的一批。想问大家有什么办法不?
10545 次点击
所在节点    程序员
65 条回复
jaskle
2019-07-27 09:35:20 +08:00
经查证确实有 referer,可以检验 appid,谢谢大家了
zibber
2019-07-27 09:36:36 +08:00
小程序静默授权, 接口检查一下登录状态
sammmmm
2019-07-27 09:40:53 +08:00
referer 不是可以修改吗
pubby
2019-07-27 09:44:43 +08:00
@sammmmm 小程序本身不能改 referer,所以还是能识别出来的
jaskle
2019-07-27 11:34:32 +08:00
@sammmmm 只有搭建服务端能够抓取修改 referer,浏览器小程序之类的无权修改,如果对方用服务器我们就能轻松封掉他的 ip,所以不必担心
jmk92
2019-07-27 11:52:00 +08:00
@jaskle 你封 referer,他可以加反代,你封 IP,他可以用拨号 vps(全国混播),而且还容易误伤。
不能简单的让他访问不了,否则他还会想办法,你要让他时不时的不能用,动不动内容还乱了,专门为他写一套流程,得整的他一脸懵逼,访问还是正常的,时不时就出乱七八糟的,让他自己放弃。
chinvo
2019-07-27 12:15:51 +08:00
静默授权获取 openid,后台用 openid 取一下用户信息,不是你家的小程序,取不到信息
neko77
2019-07-27 14:23:24 +08:00
数据投毒,访问频率高的随机搞点乱数据, [斜眼笑]
mamahaha
2019-07-27 14:30:47 +08:00
感觉这都是开学第一天就该解决的问题,你这都毕业好几年了,还没解决。
mumbler
2019-07-27 14:44:02 +08:00
简单加个密,就能防住大多数人. 加个 time 和 token 参数,time 传时间戳,客户端都根据时间戳加盐做 md5,生成一个 token,服务器拿到 time 用同样算法生成 token 和传上来的 token 对比一下,不一致就返回假数据,如果一致再检查下时间戳是否过期,过期也返回假数据
licoycn
2019-07-27 16:03:42 +08:00
小程序授权,之后的接口都需要身份验证,就解决了,随便他们调反正获取不到数据
unclemcz
2019-07-27 16:07:52 +08:00
@mumbler 加密代码再混淆一下,能降低小程序 wxapkg 反编译的成功率。
jianshou
2019-07-27 17:05:04 +08:00
推送辣鸡广告,自己人接收后处理一下
Greatshu
2019-07-27 17:41:27 +08:00
这是免费广告位啊。改接口,接入广告联盟,反撸一波。
xnode
2019-07-27 17:44:28 +08:00
...多简单的事情, 让自己的客户端价格 key 验证,服务器屏蔽错误 key
qoras
2019-07-27 18:10:34 +08:00
加一套鉴权机制
wozhizui
2019-07-27 18:10:40 +08:00
token 认证
dremy
2019-07-27 18:57:29 +08:00
动态 csrf token 了解一下,跟时间戳相关加密的
MMMMMMMMMMMMMMMM
2019-07-27 19:25:17 +08:00
token 他能反复拿

referer 能伪造

真正狠的就是悄悄地 间歇性 给他返回错误结果

他程序三天两头出 BUG 还重现不了心态肯定崩
ruandao
2019-07-27 19:37:43 +08:00
@MMMMMMMMMMMMMMMM 正常用户也被伤了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/586612

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX