防刷

Background
接口不妨刷分分钟作死
Analysis
1.跟csrf 有点类似,要调用接口必须使用一些方法来验证你的身份,token就是最有效常用的一种,其实本质上也是接口防刷
2.现在很多平台,类似阿里与,腾讯,要使用他们的接口都必须使用他们的验证方法(都是动态算法,这种验证机制下次还要好好研究一下)
3.跟ddos攻击不同,那个是通过一堆包过来堵着带宽,别人的请求就进不来了
Fix
1.验证身份(防不明身份)
2.单位时间内接口次数限制(防天防地防自己)
3.限制单一ip访问次数
3.其他根据业务情况来防范
4.阿里云的高级防刷卫士(目前还不是很明白机制)
Reference
老阮的数字签名是什么？
PHP防刷手段之一：限制IP频繁访问
接口防刷之限制访问次数