如何防止系統(tǒng)被刷接口？

相信身為程序員的我們，在7-8年前智能手機(jī)還沒有普及的時候，那個時間QQ以及玩的很多游戲都是有VIP或各種特權(quán)的，大多數(shù)人應(yīng)該都有了解或者聽說過刷這個字。

刷的原理就是我們發(fā)送短信或者請求后，利用程序的響應(yīng)時間，事務(wù)處理結(jié)果以及網(wǎng)絡(luò)傳輸延遲，中間這個差值做事情。細(xì)節(jié)不在此說，大概意思理解就好。

隨著互聯(lián)網(wǎng)的發(fā)展，分布式系統(tǒng)的普及，系統(tǒng)的安全健壯讓這些漏洞變得不再可用。

再舉個例子，假設(shè)我們有一個積分簽到系統(tǒng)，接收到一個請求就對這個請求參數(shù)代表的用戶進(jìn)行增加積分。如果我們不對接口的業(yè)務(wù)做處理，該漏洞就會被不良用心的人刷取積分。（假如哈，假如，現(xiàn)在應(yīng)該不會有這種寫法了吧，這種都屬于業(yè)務(wù)的限制了，有的話該問問自己了??）

在這種需要進(jìn)行限制的接口中，常用的做法有時間限制（業(yè)務(wù)需要，每天簽到一次），或者次數(shù)限制（只可點(diǎn)擊5次），在或者2分鐘內(nèi)只能點(diǎn)擊1次這種限制。這些措施都是接口的業(yè)務(wù)處理，那么今天我們就來看下如何讓這些非法請求連業(yè)務(wù)處理邏輯這一步都進(jìn)不來呢？

被程序自動化的惡意多次請求會給服務(wù)器帶來巨大的負(fù)載壓力，甚至導(dǎo)致系統(tǒng)崩潰，影響正常用戶的使用。

首先還是看下防止接口被惡意刷的8種方式。

1.防火墻

防火墻也是互聯(lián)網(wǎng)安全攻防中重要的屏障，我們通過配置訪問規(guī)則，可以限制只有被允許的IP才可以進(jìn)行訪問。

防火墻還可以識別和阻止DDoS攻擊，通過識別并過濾惡意流量請求，防火墻可以有效的防御，保護(hù)接口正常運(yùn)行。

2.用戶認(rèn)證

在調(diào)用接口之后，需要對接口中的身份信息進(jìn)行認(rèn)證和授權(quán)，只有授權(quán)過的合法用戶才可繼續(xù)訪問。

常用的有OAtuh2.0等標(biāo)準(zhǔn)協(xié)議，通過token的形式進(jìn)行身份驗(yàn)證，確保用戶已經(jīng)登陸或者已經(jīng)具備該接口的訪問權(quán)限，從而限制接口的訪問。

我們可以自定義一個注解，在注解上添加權(quán)限授權(quán)標(biāo)識，并在網(wǎng)關(guān)上增加權(quán)限攔截器，對增加了該權(quán)限注解的接口進(jìn)行權(quán)限驗(yàn)證，只有匹配該接口所需要的權(quán)限才可以訪問。

3.訪問頻率

增加訪問頻率限制，限制同一個用戶在一段時間內(nèi)的請求接口次數(shù)。我們可以根據(jù)用戶角色的不同設(shè)置不同的等級限制。

訪問頻率這塊我們可以都適用動態(tài)配置的，可以考慮一下兩點(diǎn)方向：

• 訪問策略限制可以配置調(diào)整。
• 限制算法與業(yè)務(wù)影響最小，既能有效防止惡意請求，也不影響正常用戶訪問。

4.驗(yàn)證碼

比如登陸時用的短信驗(yàn)證碼，頁面限制60秒發(fā)送一次，大大延長用戶操作的時間，但是當(dāng)用戶刷新了頁面，對于當(dāng)前頁面來說，用戶還是可以繼續(xù)點(diǎn)擊發(fā)送短信驗(yàn)證碼，所以服務(wù)端我們也要做訪問限制。

當(dāng)請求進(jìn)來后，以用戶手機(jī)號為key，判斷最近發(fā)送驗(yàn)證碼的時間，如果大于60s，就發(fā)送短信，反之拒絕。

服務(wù)端做限制，以手機(jī)號發(fā)送驗(yàn)證碼舉例，不僅要限制發(fā)送驗(yàn)證的頻率，還要限制每天同一個手機(jī)號最多發(fā)送幾次驗(yàn)證碼。

以用戶手機(jī)號以及當(dāng)天日期為key，增加當(dāng)天該手機(jī)號發(fā)送驗(yàn)證碼次數(shù)，超過一定次數(shù)拒絕發(fā)送短信。

5.IP 白名單與黑名單

對于信任的IP地址直接加入白名單，對于明確知道惡意請求的 IP，直接加入黑名單。（如何知道是惡意請求，就是下一個手段，監(jiān)控）

白名單黑名單的配置我們可以使用配置中心，Nacos 或者 Apollo，這樣當(dāng)線上使用時可以動態(tài)的增加刪除，使其動態(tài)生效。

6.監(jiān)控

在系統(tǒng)中增加監(jiān)控系統(tǒng)，對接口的請求記錄保存日志，通過對日志進(jìn)行分析，發(fā)現(xiàn)突發(fā)流量時使用限制訪問頻率或者封禁IP等手段，然后同步發(fā)送短信或者郵件提醒管理員。

監(jiān)控的范圍最好是覆蓋廣，相當(dāng)于全接口的監(jiān)控，然后是實(shí)時、準(zhǔn)確，最好有可視化的監(jiān)控報告，幫助管理員或者運(yùn)維人員排查。

7.數(shù)據(jù)加密

為何能自動化的使用程序刷接口，就是因?yàn)橥ㄟ^各種手段破解了我們接口所需要的參數(shù)以及認(rèn)證信息，那么我們對接口進(jìn)行加密就可以增加這個過程的難度，讓其再去破譯該接口就變的沒有那么容易。

加密有多種，首先可以數(shù)據(jù)加密，也就是傳的參數(shù)，前后端約定加密算法。然后是使用HTTPS安全傳輸協(xié)議，對接口傳輸?shù)臄?shù)據(jù)進(jìn)行加密，防止數(shù)據(jù)被中間人竊取篡改，保證接口安全。

8.用戶行為分析

在監(jiān)控系統(tǒng)的基礎(chǔ)上，增加用戶分析，對用戶的特點(diǎn)行為進(jìn)行分析，發(fā)現(xiàn)異常行為時作出相應(yīng)的處理。但是需要確保不能影響到正常的用戶，也不能使用單一的條件進(jìn)行分析，需要多方位的，比如用戶的登錄設(shè)備、IP、時間點(diǎn)等。

總結(jié)

上文描述了8中防止接口被刷的方式，其實(shí)看下來你會發(fā)現(xiàn)，不管是哪一種，最后的目標(biāo)就是不要讓惡意請求訪問到我們業(yè)務(wù)的接口。其實(shí)還有一種，接口的冪等，但是這種就會造成服務(wù)器的負(fù)載壓力，對用戶的數(shù)據(jù)行為是不會造成影響的，相當(dāng)于資源浪費(fèi)了，所以也不是那么可取，下一篇我們就來聊一下MQ中消息重復(fù)消費(fèi)之冪等消費(fèi)。