请问如何访问WebAPI接口被恶意调用?

悬赏园豆：10 [已解决问题] 解决于 2014-12-29 15:42

接口本来只是提供给IOS和Android客户端调用的.

现在举个例子,假如有人知道登录的接口是:

http://www.API.com/User/Login?userName=123&password=xxx

这时候就恶意用户可以通过程序频繁调用这个地址来登录..先不说它能否登录成功,就是频繁调用对服务器的压力也很大..

请问要怎么才能防止恶意调用呢?

我用Smail2JavaUI这个工具反编译微信的客户端,想看看他们是怎么做的,登录部分是代码看不出来所以然...如下图:

其它部分如下图:

是不是它们用了什么技术来防止反编译了..?

接口安全 Android反编译

hexllo | 菜鸟二级 | 园豆：318
提问于：2014-12-04 10:04

< >

最佳答案

http://www.API.com/User/Login?userName=123&password=xxx&uuid=aaasdfjlkasjdflkajsdflkhgljahdsf

再加参数，进行对比。验证逻辑得自己想想。

你可以看看《HTTP摘要认证》

收获园豆：10

问天何必 | 老鸟四级 |园豆：3311 | 2014-12-26 09:49

其他回答(4)

建议使用OAuth解决这个问题

dudu | 园豆：30778 (高人七级) | 2014-12-04 10:10

OAuth不是干这个事的啊 ,它是授权http://www.cnblogs.com/Hexllo/p/4142048.html

支持(0) 反对(0) hexllo | 园豆：318 (菜鸟二级) | 2014-12-04 15:21

加个Token，每次都是类似于UUID的形式，OAuth吧，微信，QQ，淘宝等都是怎么做的

Halower | 园豆：1723 (小虾三级) | 2014-12-04 10:22

OAuth不是干这个事的啊 ,它是授权http://www.cnblogs.com/Hexllo/p/4142048.html

支持(0) 反对(0) hexllo | 园豆：318 (菜鸟二级) | 2014-12-04 15:20

访问者白名单机制

Jxj | 园豆：21 (初学一级) | 2014-12-08 09:44

白名单..你不知道将来哪些设备会下载你的应用,调用你的接口..名单成员怎么定?

支持(0) 反对(0) hexllo | 园豆：318 (菜鸟二级) | 2014-12-13 09:05

对啊，兄台，我也有同样的问题。

Eysa | 园豆：62 (初学一级) | 2016-02-06 10:25

清除回答草稿

您需要登录以后才能回答，未注册用户请先注册。

欢迎，请先 登录 或者 注册 。