2021年3月26日:不懂

2021年3月28日:常用加密方法: base64 、 MD5 、 MD5加盐 、 HMAC 、 时间戳密码(用户密码动态变化),加密可能会影响传输性能(?)

以小程序调用接口向开发者服务器发送请求为例,接口防护方法有:

  • 使用HTTPS防止抓包
  • 接口参数的加密,通过md5加密数据+时间戳+随机字符串(salt),然后将MD5加密的数据和时间戳、原数据均传到后台,后台规定一个有效时长,如果在该时长内,且解密后的数据与原数据一致,则认为是正常请求;也可以采用aes/des之类的加密算法,还可以加入客户端的本地信息作为判断依据
  • 本地加密
  • User-Agent 和 Referer 限制(?)
  • api登录验证、api的访问次数限制,检查session判断用户是否登录,对一定时间内api调用次数进行限制
  • 定期监测,检查日志,侦查异常的接口访问

Q.E.D.


大力出奇迹