首頁猿問如何防止第三方網(wǎng)站私自調用網(wǎng)站的后端接口

如何防止第三方網(wǎng)站私自調用網(wǎng)站的后端接口

PHP JavaScript

lykss 2015-12-31 21:58:36

對于前后端完全分離的網(wǎng)站，后端采用PHP向前端輸出json格式的數(shù)據(jù)，而前端通過ajax向后端調用接口獲取數(shù)據(jù)。這種情況下，后端的接口如果沒有采取一定的保護措施是很容易被其他人惡意調用來做一些非法操作。那么，現(xiàn)在在這種前后端完全分離的網(wǎng)站架構下有哪些主流的對后端接口保護的做法？我所知道的只有時間戳，希望慕課網(wǎng)的大大可以分享一下。

查看完整描述

3 回答

已采納

I_尼克哇

TA貢獻56條經(jīng)驗獲得超25個贊

如果只是時間戳就會被偽造。

并且需要根據(jù)不同應用場景來找解決方法：

ajax接口是php程序生成后輸出到前端頁面的（每次ajax請求接口之前是打開php頁面的），這個方法很簡單，后端使用時間戳+sign（通過一個key和時間戳md5加密的）去請求后端接口，每次驗證sign是否正確就可以了。這里需要注意打開網(wǎng)頁和 ajax接口請求的時間間隔，請求后端驗證接口就是驗證這個的，sign是為了防止偽造時間戳。
對于一個網(wǎng)頁打開后，ajax請求是通過用戶點擊或者其他動作觸發(fā)的，上面的方法不能徹底防止，或者他人通過抓取頁面后拿到的ajax接口也不能徹底防止?？梢允褂脀ebsocket，來實時獲取接口，不過代價有點大，對于想玩技術的人可以試試。

對于抓取頁面獲取ajax接口后再頻繁請求ajax接口，也只能封ip了。

希望對你有幫助，其他同學有好的方法也可以互相探討下。

反對回復 2016-01-12

lykss
您好，首先得說聲不好意思，之前沒有關注自己提的這個問題，所以也沒去留意有沒有人回答了。對于你說的這個方案感覺還是不錯的，但對于那些經(jīng)驗豐富的老手來說會不會比較容易破解呢？本人新手，所以不知道老手看到這種加密的時候會如何處理。其實我想探討的是，能不能找到一種比較隱藏的方式去加密呢？就是盡可能不在接口中傳遞對應的值，因為是個前端的都會去關注請求中的字段，感覺還是有點不安全，個人見解。

回復 2016-02-24
I_尼克哇
可以嘗試非對稱加密方式

回復 2016-05-28