羊了个羊只要发请求就可以通关，如何在设计层面避免这种情况

牌的花色根本就是随机的，不说每种花色的数量不是 3 的整数倍，连牌的总数都不是 3 的整数倍好不好。。。这个不是游戏，玩的是人心，赚的是广告。so……你爱刷就刷呗，有什么打紧？反正也不耽误我赚钱。说不得我赚的更多了呢。。。又何必和自己过不去，和钱过不去呢。

开脑洞：

开局前，请求后台，返回 {"can_pass":true , "pass_token":"xxx"}，如果 can_pass=false ，前端生成无法通关的牌，反之生成能通关的（但是玩家不一定能通关）。
通关用 pass_token 提交数据，后台根据这个唯一且一次性的 token ，判断是否作弊。
这样玩游戏变成可有可无的手段，能不能通关完全就是你服务器控制的，所有防作弊手段在服务端判断。

参考其他游戏的防作弊措施，只能说很难，只能起一个监控线程去监视。即使是重放判断也不能解决防作弊吧，只要有现成的请求模版就 pass 了。

@GeruzoniAnsasu 啥就帧同步了啊，真就是听说个名词就到处用。人家问的如何设计或者从技术角度避免玩家对游戏结果作弊。

@marcong95 666 ，这个好，不看两次广告成绩不作数

这是之前的刷法吧，现在没用了

@Xyg12133617 #1 你太逗了，哈哈哈哈哈

没有必要。在玩这个游戏的人群里，100 个人里面也没有 1 个人有这样的能力来实现，且不放弃其他 99 个人按照预期玩游戏。

技术上的解决方案，不如游玩流程上来屏蔽（减少奖励等方式）。

换句话说就是优先级最低，毕竟赚的不是内购道具通关的钱。

所以 2L 给的是就上的答案，3L 给的就是实际上的解决方案。

学习了。

@FstarKing #2 的方案代价也不大啊，就好像你做斗地主游戏得验证玩家的出牌是否合法一样，虽然没法防止 AI 解题（这个属于策略游戏自身性质的问题，是无解的），但至少『只要发请求就可以通关』这种情况可以避免了

不从工程角度，单从技术角度来说。
打点， 不停打点。。。然后做用户操作路径扫描， 最明显的操作频率、事件先后、时间这几个点一查，直接废弃掉记录。

有没有办法让人抓不到包，我看有些 app 包很难抓

微信小程序有一个 wx.login 函数，可以获取用户 jscode 。服务器用 jscode 和 appid 、appsecret 换取用户 openid ，jscode 只能使用一次，可以上传数据的时候校验 jscode 判断是不是小程序发送的请求
https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html

@hhjswf ios 抓包很简单

通一关传后台记录下
加强版：每个操作都传后端验证，通一关的时候检测下操作是否异常。但是这样服务器压力会变大

@ICB #6

可以我刷了几百次

原理很简单
1.抓包找到
https://cat-match.easygame2021.com/sheep/v1/game/map_info_ex?matchType=3
返回的参数 用抓包工具修改下 把第二关的地图改成和第一关一样

2.然后通关 可以找到这个通关接口
复制这个接口 可以批量刷多次

更新过后好像验证了时间戳 但是没有幂等

@zxfeng 很难理解吗？ 解决方案是把操作运算放到服务端，那是不是还是帧同步 /状态同步？


OP 这个问题本来就问的很空泛，没人知道他想问的是

微信小程序有没有内置方案
还是游戏如何反作弊
还是接口如何鉴权
还是不清楚服务器运算的基础设计

那能怎么办呢，不如先多看看概念让他自己想想有什么方法做到

我就想问为啥 SSL 加密的 api 通讯会被破解了？程序被用中间人证书了？

@zenyangfeng 如果抓包简单，为什么还有手机 farm 的存在，不就是因为分析不了包，只能靠模拟吗

客户端和服务端约定好加密方式和 token ，客户端把 userId + 时间戳 + 一个随机数 加密算出一个 signature ，服务端校验就行了

不需要管，异常数据清空封号，邀请五个人可以解封，用户造假门槛通过微信平台大幅度提高，你不需要操心，榨取开挂者的剩余价值。