登录 注册

如何防止接口数据被盗用(给自己app用的),用户不用登录

本贴最后更新于 2936 天前,其中的信息可能已经时过境迁

#目前已经采取的措施(通讯方面)

  • 自定义的字符 encode 和 decode
  • 对 encode 后的内容进行 RSA 之后再传输
  • 服务器接收能正常 rsa 界面,decode 解码之后的请求才返回数据。
  • 对返回的数据同样进行 encode 操作

#目前已经采取的措施(App 方面)

* 各种扰码
* 各种平台提供的反编译打包

#困惑

* 无法保证app不被破解
  • 破解
    21 引用 • 41 回帖 • 2 关注
  • App

    App(应用程序,Application 的缩写)一般指手机软件。

    90 引用 • 383 回帖 • 1 关注
  • encode
    2 引用 • 18 回帖
  • decode
    1 引用 • 11 回帖
武汉 位置
4 收藏
4 赞同
11 回帖
3
2
2
15.2k 29 913 934 988 456 56 491 11.3k

相关帖子

11 回帖
如何防止接口数据被盗用(给自己app用的),用户不用登录

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
  • snipking

    做这些事基本是蛋疼......

    1. 数据层面应该是按用户区分的,能注册用户的能拿到自己可以访问的数据,没用户的不能拿到非公开数据,同时防范中间人攻击(单向 SSL + 安全性)
    2. 对于特定的需要强加密的场景,建议使用双向 SSL 认证,向客户端的签发证书的形式

    另外 RSA 加密和解密是很好资源的行为,不建议用于明文加密,比较合适的是用 RSA 来加密对称秘钥,用对称秘钥进行明文加密,对称秘钥需要有一套协议更新的流程,思想具体可以参考 HTTPS 。

  • MeiSha
    作者

    @snipking
    1.数据一定要允许非登录用户使用
    2.理解 https 相关原理,rsa 用于加密其他对称加密的 key,但目前关键问题是 app 一直能被破解,有哪些合理的机制识别是合法的客户端请求?

  • zempty

    辛苦了,写得很好。

  • snipking

    @MeiSha 既然你的数据允许非登录用户使用,为什么好要考虑盗用问题?极端一点考虑我始终有办法抓到数据,如果你的数据确实有价值。举个最简单的例子,无论你在 app 层面做什么加密解密之类的操作,我依然可以通过 xposed 框架在你的解密方法上挂钩子来记录数据。你怎么防?
    我认为从用户层面控制可访问的数据才是可行之道。

  • MeiSha
    作者

    @snipking 数据的确是有价值的数据,出于产品角度(用户感知,新用户引导)等角度非登录用户允许访问。

  • 88250
    订阅者

    我觉得 @snipking 说的是对的,这个问题本身无解啊。只能从产品设计层面来限制,技术层面是搞不定的。

    实在要防止,还有一个办法,就是加验证码,需要人工输入验证码后才能进行相应操作。

  • MeiSha
    作者

    @88250 我也认为在技术层面无法处理,只能从业务上着手。o(︶︿︶)o 唉

  • 88250
    订阅者

    @MeiSha 就像社区防自动签到脚本一样,加了验证码才解决....

  • Angonger
    支持者

    @88250 再加个评论验证码把

  • someone1764

    产品经理和技术不可调和的矛盾

  • blague

    @mymoshou 产品说:要有光,于是技术得制造光。

请输入回帖内容 ...
MeiSha
青青子衿 悠悠我心 武汉
回帖
20
 帖子
2
 积分
2089

近期热议

推荐标签 标签

  • Sym

    Sym 是一款用 Java 实现的现代化社区(论坛/BBS/社交网络/博客)系统平台。

    下一代的社区系统,为未来而构建

    523 引用 • 4581 回帖 • 690 关注
  • CloudFoundry

    Cloud Foundry 是 VMware 推出的业界第一个开源 PaaS 云平台,它支持多种框架、语言、运行时环境、云平台及应用服务,使开发人员能够在几秒钟内进行应用程序的部署和扩展,无需担心任何基础架构的问题。

    5 引用 • 18 回帖 • 152 关注
  • 面试

    面试造航母,上班拧螺丝。多面试,少加班。

    324 引用 • 1395 回帖
  • Windows

    Microsoft Windows 是美国微软公司研发的一套操作系统,它问世于 1985 年,起初仅仅是 Microsoft-DOS 模拟环境,后续的系统版本由于微软不断的更新升级,不但易用,也慢慢的成为家家户户人们最喜爱的操作系统。

    215 引用 • 462 回帖
  • 开源

    Open Source, Open Mind, Open Sight, Open Future!

    396 引用 • 3416 回帖
  • SQLite

    SQLite 是一个进程内的库,实现了自给自足的、无服务器的、零配置的、事务性的 SQL 数据库引擎。SQLite 是全世界使用最为广泛的数据库引擎。

    4 引用 • 7 回帖 • 3 关注
  • jQuery

    jQuery 是一套跨浏览器的 JavaScript 库,强化 HTML 与 JavaScript 之间的操作。由 John Resig 在 2006 年 1 月的 BarCamp NYC 上释出第一个版本。全球约有 28% 的网站使用 jQuery,是非常受欢迎的 JavaScript 库。

    63 引用 • 134 回帖 • 740 关注
  • 尊园地产

    昆明尊园房地产经纪有限公司,即:Kunming Zunyuan Property Agency Company Limited(简称“尊园地产”)于 2007 年 6 月开始筹备,2007 年 8 月 18 日正式成立,注册资本 200 万元,公司性质为股份经纪有限公司,主营业务为:代租、代售、代办产权过户、办理银行按揭、担保、抵押、评估等。

    1 引用 • 22 回帖 • 685 关注
  • SMTP

    SMTP(Simple Mail Transfer Protocol)即简单邮件传输协议,它是一组用于由源地址到目的地址传送邮件的规则,由它来控制信件的中转方式。SMTP 协议属于 TCP/IP 协议簇,它帮助每台计算机在发送或中转信件时找到下一个目的地。

    4 引用 • 18 回帖 • 589 关注
  • SVN

    SVN 是 Subversion 的简称,是一个开放源代码的版本控制系统,相较于 RCS、CVS,它采用了分支管理系统,它的设计目标就是取代 CVS。

    29 引用 • 98 回帖 • 692 关注
  • 反馈

    Communication channel for makers and users.

    123 引用 • 906 回帖 • 192 关注
  • danl
    62 关注

  • 一些有用的避坑指南。

    69 引用 • 93 回帖 • 1 关注
  • Ant-Design

    Ant Design 是服务于企业级产品的设计体系,基于确定和自然的设计价值观上的模块化解决方案,让设计者和开发者专注于更好的用户体验。

    17 引用 • 23 回帖 • 2 关注
  • 爬虫

    网络爬虫(Spider、Crawler),是一种按照一定的规则,自动地抓取万维网信息的程序。

    106 引用 • 275 回帖 • 1 关注
  • Flume

    Flume 是一套分布式的、可靠的,可用于有效地收集、聚合和搬运大量日志数据的服务架构。

    9 引用 • 6 回帖 • 594 关注
  • Flutter

    Flutter 是谷歌的移动 UI 框架,可以快速在 iOS 和 Android 上构建高质量的原生用户界面。 Flutter 可以与现有的代码一起工作,它正在被越来越多的开发者和组织使用,并且 Flutter 是完全免费、开源的。

    39 引用 • 92 回帖 • 7 关注
  • GraphQL

    GraphQL 是一个用于 API 的查询语言,是一个使用基于类型系统来执行查询的服务端运行时(类型系统由你的数据定义)。GraphQL 并没有和任何特定数据库或者存储引擎绑定,而是依靠你现有的代码和数据支撑。

    4 引用 • 3 回帖 • 20 关注
  • IDEA

    IDEA 全称 IntelliJ IDEA,是一款 Java 语言开发的集成环境,在业界被公认为最好的 Java 开发工具之一。IDEA 是 JetBrains 公司的产品,这家公司总部位于捷克共和国的首都布拉格,开发人员以严谨著称的东欧程序员为主。

    180 引用 • 400 回帖
  • V2Ray
    1 引用 • 15 回帖 • 2 关注
  • Hexo

    Hexo 是一款快速、简洁且高效的博客框架,使用 Node.js 编写。

    21 引用 • 140 回帖 • 27 关注
  • 又拍云

    又拍云是国内领先的 CDN 服务提供商,国家工信部认证通过的“可信云”,乌云众测平台认证的“安全云”,为移动时代的创业者提供新一代的 CDN 加速服务。

    21 引用 • 37 回帖 • 513 关注
  • LeetCode

    LeetCode(力扣)是一个全球极客挚爱的高质量技术成长平台,想要学习和提升专业能力从这里开始,充足技术干货等你来啃,轻松拿下 Dream Offer!

    209 引用 • 72 回帖 • 2 关注
  • SQLServer

    SQL Server 是由 [微软] 开发和推广的关系数据库管理系统(DBMS),它最初是由 微软、Sybase 和 Ashton-Tate 三家公司共同开发的,并于 1988 年推出了第一个 OS/2 版本。

    19 引用 • 31 回帖 • 1 关注
  • GitHub

    GitHub 于 2008 年上线,目前,除了 Git 代码仓库托管及基本的 Web 管理界面以外,还提供了订阅、讨论组、文本渲染、在线文件编辑器、协作图谱(报表)、代码片段分享(Gist)等功能。正因为这些功能所提供的便利,又经过长期的积累,GitHub 的用户活跃度很高,在开源世界里享有深远的声望,并形成了社交化编程文化(Social Coding)。

    207 引用 • 2031 回帖
  • 黑曜石

    黑曜石是一款强大的知识库工具,支持本地 Markdown 文件编辑,支持双向链接和关系图。

    A second brain, for you, forever.

    10 引用 • 85 回帖
  • Spring

    Spring 是一个开源框架,是于 2003 年兴起的一个轻量级的 Java 开发框架,由 Rod Johnson 在其著作《Expert One-On-One J2EE Development and Design》中阐述的部分理念和原型衍生而来。它是为了解决企业应用开发的复杂性而创建的。框架的主要优势之一就是其分层架构,分层架构允许使用者选择使用哪一个组件,同时为 JavaEE 应用程序开发提供集成的框架。

    941 引用 • 1458 回帖 • 150 关注

最新标签