登录 注册

如何防止接口数据被盗用(给自己app用的),用户不用登录

本贴最后更新于 3439 天前,其中的信息可能已经时过境迁

#目前已经采取的措施(通讯方面)

  • 自定义的字符 encode 和 decode
  • 对 encode 后的内容进行 RSA 之后再传输
  • 服务器接收能正常 rsa 界面,decode 解码之后的请求才返回数据。
  • 对返回的数据同样进行 encode 操作

#目前已经采取的措施(App 方面)

* 各种扰码
* 各种平台提供的反编译打包

#困惑

* 无法保证app不被破解
  • 破解
    21 引用 • 41 回帖 • 2 关注
  • App

    App(应用程序,Application 的缩写)一般指手机软件。

    91 引用 • 384 回帖
  • encode
    2 引用 • 18 回帖
  • decode
    1 引用 • 11 回帖
武汉 位置
4 收藏
4 赞同
11 回帖
3
2
2
15.5k 29 917 991 1.0k 456 56 495 11.5k

相关帖子

11 回帖
如何防止接口数据被盗用(给自己app用的),用户不用登录

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
  • snipking via macOS

    做这些事基本是蛋疼......

    1. 数据层面应该是按用户区分的,能注册用户的能拿到自己可以访问的数据,没用户的不能拿到非公开数据,同时防范中间人攻击(单向 SSL + 安全性)
    2. 对于特定的需要强加密的场景,建议使用双向 SSL 认证,向客户端的签发证书的形式

    另外 RSA 加密和解密是很好资源的行为,不建议用于明文加密,比较合适的是用 RSA 来加密对称秘钥,用对称秘钥进行明文加密,对称秘钥需要有一套协议更新的流程,思想具体可以参考 HTTPS 。

  • MeiSha
    作者

    @snipking
    1.数据一定要允许非登录用户使用
    2.理解 https 相关原理,rsa 用于加密其他对称加密的 key,但目前关键问题是 app 一直能被破解,有哪些合理的机制识别是合法的客户端请求?

  • zempty

    辛苦了,写得很好。

  • snipking via macOS

    @MeiSha 既然你的数据允许非登录用户使用,为什么好要考虑盗用问题?极端一点考虑我始终有办法抓到数据,如果你的数据确实有价值。举个最简单的例子,无论你在 app 层面做什么加密解密之类的操作,我依然可以通过 xposed 框架在你的解密方法上挂钩子来记录数据。你怎么防?
    我认为从用户层面控制可访问的数据才是可行之道。

  • MeiSha
    作者

    @snipking 数据的确是有价值的数据,出于产品角度(用户感知,新用户引导)等角度非登录用户允许访问。

  • 88250
    订阅者

    我觉得 @snipking 说的是对的,这个问题本身无解啊。只能从产品设计层面来限制,技术层面是搞不定的。

    实在要防止,还有一个办法,就是加验证码,需要人工输入验证码后才能进行相应操作。

  • MeiSha
    作者

    @88250 我也认为在技术层面无法处理,只能从业务上着手。o(︶︿︶)o 唉

  • 88250
    订阅者

    @MeiSha 就像社区防自动签到脚本一样,加了验证码才解决....

  • Angonger
    支持者

    @88250 再加个评论验证码把

  • someone1764

    产品经理和技术不可调和的矛盾

  • blague

    @mymoshou 产品说:要有光,于是技术得制造光。

请输入回帖内容 ...
MeiSha
青青子衿 悠悠我心 武汉
回帖
20
 帖子
2
 积分
2089

近期热议

推荐标签 标签

  • 创业

    你比 99% 的人都优秀么?

    81 引用 • 1395 回帖 • 1 关注
  • 笔记

    好记性不如烂笔头。

    312 引用 • 794 回帖 • 1 关注
  • HHKB

    HHKB 是富士通的 Happy Hacking 系列电容键盘。电容键盘即无接点静电电容式键盘(Capacitive Keyboard)。

    5 引用 • 74 回帖 • 529 关注
  • Mobi.css

    Mobi.css is a lightweight, flexible CSS framework that focus on mobile.

    1 引用 • 6 回帖 • 779 关注
  • jsDelivr

    jsDelivr 是一个开源的 CDN 服务,可为 npm 包、GitHub 仓库提供免费、快速并且可靠的全球 CDN 加速服务。

    5 引用 • 31 回帖 • 113 关注
  • 安全

    安全永远都不是一个小问题。

    200 引用 • 818 回帖 • 2 关注
  • 数据库

    据说 99% 的性能瓶颈都在数据库。

    346 引用 • 761 回帖
  • 七牛云

    七牛云是国内领先的企业级公有云服务商,致力于打造以数据为核心的场景化 PaaS 服务。围绕富媒体场景,七牛先后推出了对象存储,融合 CDN 加速,数据通用处理,内容反垃圾服务,以及直播云服务等。

    29 引用 • 230 回帖 • 119 关注
  • CAP

    CAP 指的是在一个分布式系统中, Consistency(一致性)、 Availability(可用性)、Partition tolerance(分区容错性),三者不可兼得。

    12 引用 • 5 回帖 • 641 关注
  • 友情链接

    确认过眼神后的灵魂连接,站在链在!

    24 引用 • 373 回帖 • 2 关注
  • Android

    Android 是一种以 Linux 为基础的开放源码操作系统,主要使用于便携设备。2005 年由 Google 收购注资,并拉拢多家制造商组成开放手机联盟开发改良,逐渐扩展到到平板电脑及其他领域上。

    337 引用 • 324 回帖
  • RemNote
    2 引用 • 16 回帖 • 31 关注
  • 大数据

    大数据(big data)是指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合,是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。

    90 引用 • 113 回帖
  • Notion

    Notion - The all-in-one workspace for your notes, tasks, wikis, and databases.

    10 引用 • 79 回帖 • 1 关注
  • Log4j

    Log4j 是 Apache 开源的一款使用广泛的 Java 日志组件。

    20 引用 • 18 回帖 • 49 关注
  • PostgreSQL

    PostgreSQL 是一款功能强大的企业级数据库系统,在 BSD 开源许可证下发布。

    23 引用 • 22 回帖 • 1 关注
  • Scala

    Scala 是一门多范式的编程语言,集成面向对象编程和函数式编程的各种特性。

    13 引用 • 11 回帖 • 168 关注
  • Elasticsearch

    Elasticsearch 是一个基于 Lucene 的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于 RESTful 接口。Elasticsearch 是用 Java 开发的,并作为 Apache 许可条款下的开放源码发布,是当前流行的企业级搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。

    117 引用 • 99 回帖 • 199 关注
  • BookxNote

    BookxNote 是一款全新的电子书学习工具,助力您的学习与思考,让您的大脑更高效的记忆。

    笔记整理交给我,一心只读圣贤书。

    1 引用 • 1 回帖 • 4 关注
  • Ubuntu

    Ubuntu(友帮拓、优般图、乌班图)是一个以桌面应用为主的 Linux 操作系统,其名称来自非洲南部祖鲁语或豪萨语的“ubuntu”一词,意思是“人性”、“我的存在是因为大家的存在”,是非洲传统的一种价值观,类似华人社会的“仁爱”思想。Ubuntu 的目标在于为一般用户提供一个最新的、同时又相当稳定的主要由自由软件构建而成的操作系统。

    127 引用 • 169 回帖 • 1 关注
  • ngrok

    ngrok 是一个反向代理,通过在公共的端点和本地运行的 Web 服务器之间建立一个安全的通道。

    7 引用 • 63 回帖 • 659 关注
  • Word
    13 引用 • 41 回帖
  • Facebook

    Facebook 是一个联系朋友的社交工具。大家可以通过它和朋友、同事、同学以及周围的人保持互动交流,分享无限上传的图片,发布链接和视频,更可以增进对朋友的了解。

    4 引用 • 15 回帖 • 443 关注
  • FreeMarker

    FreeMarker 是一款好用且功能强大的 Java 模版引擎。

    23 引用 • 20 回帖 • 472 关注
  • 宕机

    宕机,多指一些网站、游戏、网络应用等服务器一种区别于正常运行的状态,也叫“Down 机”、“当机”或“死机”。宕机状态不仅仅是指服务器“挂掉了”、“死机了”状态,也包括服务器假死、停用、关闭等一些原因而导致出现的不能够正常运行的状态。

    13 引用 • 82 回帖 • 82 关注
  • 游戏

    沉迷游戏伤身,强撸灰飞烟灭。

    188 引用 • 832 回帖
  • Postman

    Postman 是一款简单好用的 HTTP API 调试工具。

    4 引用 • 3 回帖

最新标签