首页 新闻 会员 周边 捐助

请问如何访问WebAPI接口被恶意调用?

0
悬赏园豆:10 [已解决问题] 解决于 2014-12-29 15:42

接口本来只是提供给IOS和Android客户端调用的.

 

现在举个例子,假如有人知道登录的接口是:

 

http://www.API.com/User/Login?userName=123&password=xxx

 

这时候就恶意用户可以通过程序频繁调用这个地址来登录..先不说它能否登录成功,就是频繁调用对服务器的压力也很大..

 

请问要怎么才能防止恶意调用呢?

 

我用Smail2JavaUI这个工具反编译 微信 的客户端,想看看他们是怎么做的,登录部分是代码看不出来所以然...如下图:

其它部分如下图:

 

 

是不是它们用了什么技术来防止反编译了..?

 

hexllo的主页 hexllo | 菜鸟二级 | 园豆:318
提问于:2014-12-04 10:04
< >
分享
最佳答案
0

http://www.API.com/User/Login?userName=123&password=xxx&uuid=aaasdfjlkasjdflkajsdflkhgljahdsf

再加参数,进行对比。验证逻辑得自己想想。

你可以看看《HTTP摘要认证》

收获园豆:10
问天何必 | 老鸟四级 |园豆:3311 | 2014-12-26 09:49
其他回答(4)
0

建议使用OAuth解决这个问题

dudu | 园豆:29568 (高人七级) | 2014-12-04 10:10

OAuth不是干这个事的啊 ,它是授权http://www.cnblogs.com/Hexllo/p/4142048.html

支持(0) 反对(0) hexllo | 园豆:318 (菜鸟二级) | 2014-12-04 15:21
0

加个Token,每次都是类似于UUID的形式,OAuth吧,微信,QQ,淘宝等都是怎么做的

Halower | 园豆:1723 (小虾三级) | 2014-12-04 10:22

OAuth不是干这个事的啊 ,它是授权http://www.cnblogs.com/Hexllo/p/4142048.html

支持(0) 反对(0) hexllo | 园豆:318 (菜鸟二级) | 2014-12-04 15:20
0

访问者白名单机制

Jxj | 园豆:21 (初学一级) | 2014-12-08 09:44

白名单..你不知道将来哪些设备会下载你的应用,调用你的接口..名单成员怎么定?

支持(0) 反对(0) hexllo | 园豆:318 (菜鸟二级) | 2014-12-13 09:05
0

对啊,兄台,我也有同样的问题。

Eysa | 园豆:62 (初学一级) | 2016-02-06 10:25
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册