作者在20年末遭遇黑产:我跟黑产斗争的故事(二),提到当时未对接口进行加密处理,被人刷短信接口一事,现根据经验提出集中api接口加密思路供参考,当然我的思路和方法也是参考了网上现有的一些方法。
方法一:最简单的,字符串验证。
即每个请求都必须提交一个特定的字符串,可以直接提交参数,也可以放在head中,比如在get请求中直接加入特定字符串token进行验证:
https://www.kutailang.com/wp-json?token=abcdefghijklmnopqrstuvwxyz
https://www.kutailang.com/wp-json?app_id=abcdefghijklmnopqrstuvwxyz也可以将验证参数放在Request Header中。
实际操作时需要注意:一是使用更安全的https链接。二是如此操作必然需要一个公共的发起请求的函数,那可以稍微把代码搞乱一点,不要生怕别人读不懂代码。
最后这样的安全验证比较简单,仅能挡住大批小白,若是对安全性较高的项目不建议使用此方法。