私密Api鉴权问题

Lime
  • 14

本Api为Sms发送
前端登录页面用户输入手机号后,通过POST方法发送到后端PHP进行发送短信操作
现问题:
1,如何保证请求一定我的前端页面,而不是来自他人故意伪造,导致Api超量
2,如何防止签名生成、验证算法泄露
3,如何防止用户频繁操作

回复
阅读 485
3 个回答

鉴权问题除了权限相关,就是网络安全相关

  1. 针对外部请求或者CSRF恶意攻击,多管齐下比较合理,首先是考虑https + http-header自定义 + token;
    然后是http-cookie,更极端一点可以加上时间戳。
  2. 算法泄露基本无解, 签名生成同理, 放在前端反而更容易泄露。
  3. 频繁操作依靠前后的双向拦截, 如果第一条中有服务器时间校验, 前端的责任只要添加一个节流函数优化一下就可以了。

1、2 没办法。
3、限制同一IP 同一手机号 短时间内提交的次数

  • 限制同一手机每天或者每小时最大接收到的短信数。

1、考虑携带CSRF-TOKEN、cookie验证用户,不要使用简单的token验证。
2、这点感觉是后端做的。
3、两边都做,简单做个防刷。

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
你知道吗?

宣传栏