javascript - 如何防止第三方网站私自调用网站的后端接口-php教程-PHP中文网

首页

后端开发

php教程

javascript - 如何防止第三方网站私自调用网站的后端接口

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 06, 2016 pm 08:20 PM

javajavascriptnode.jsphppython

对于前后端完全分离的网站，后端采用PHP/Java/Python向前端输出json格式的数据，而前端通过ajax向后端调用接口获取数据。这种情况下，后端的接口如果没有采取一定的保护措施是很容易被其他人恶意调用来做一些非法操作。那么，现在在这种前后端完全分离的网站架构下有哪些主流的对后端接口保护的做法？

回复内容：

1）给你API的用户发放验证Key，对请求的数据内容按双方定义的规则结合Key进行编码，后端拿到请求后解码校验是否符合预期，并设置每个Key的访问频率~~
内容不符合预期直接拒绝响应
访问过于频繁，那么此用户在一定时间内不允许访问~~~

2）还可以发放SSH私钥/公钥的方式来保证~~~

用Access-Control-Allow-Origin header 和 csrf的token来控制。
有的需要限制次数的还会在headers中加入X-RateLimit-Limit和X-RateLimit-Remaining来控制访问

目前我的想法更多是限制操作频度来控制，因为无论你怎么做，会Chrome插件开发的脚本小王子总能利用你的用户体验需求绕过所有限制。

同时也建议你开放出去的api权限控制好，比如

http://api.xxx.com/customer/user/get?id=12345

不要将这个api设计为随意更换id就能查询到所有用户的信息，要在filter中对传入的id和session中维护的登录用户信息做鉴权校验。

如果这个页面被设计为不需要用户登录即可查看的偏静态页面，那我会推荐你不要用方案来实现这种页面。因为很难去做SEQ和CDN化

给你一个简单的方案：判断请求来源是不是ajax，如果不是，则拒绝请求。那么来自ajax的请求，可以进行计数，如果单位时间请求过于频繁的话，禁止请求（这样会武断的屏蔽掉一个IP后面有一家大公司的情况）。

如果是ajax的话，你根本不能判断对方是不是恶意请求，因为它很有可能真的来源于你自己的页面。

做个token验证。在前端要调用后端接口的时候，传个加密过的token过来就行啦

一般就是token，还有就是来源。。。这就杀了一片了。

做好后端验证是最重要的。
传递的数据可以用js加个密，能略微增加一些抓包的难度

最近我也在思考这个问题

试试Oauth验证

后端没有记录session，怎么获取数据？

后来，我大致想了一下，一些不是非常敏感的数据，不需要登录就可以加载，如果是敏感的数据需要用户登录了之后才可以用异步调用。

验证码，session，限制ip 这些都是可以做的…

所见即所得，没办法。

http协议的无状态特性决定了是无法彻底避免第三方调用你的后台服务。前面几位说的方法都有一定的作用，包括crsf、接口调用频率、用户行为分析等从某一些方面来说都是只能增加第三方调用的难度而已。

12306网站就是最好的实例。

登录数据可以用session，如果不需要登录的，可以用参数密钥时间认证。

<code> test.php?a=1&b=2&time=12345678&code=xxxx
</code>

xxxx就是认证码，简单点可以用md5(a1b2time12345678passwd),即参数列表，加上当前时间，加上密码。你可以使用多个密码，即一个客户端一个密码，每个客户端发一个appid，即增加一个参数，

<code>`test.php?appid=1&a=1&b=2&time=12345678&code=xxxx`，</code>

这样可以随时修改一个客户端的密码，或者丢弃某个客户端请求。

非法访问通常使用认证来解决，方法很多session，oauth等等。
对于合法的认证访问通常需要进行访问频率和次数的限制，各种API框架都有支持，比如Django restframework的throttling。
对于拒绝服务时的访问，通常需要在更前端做控制，比如在nginx上配置rate limit。

参照各大开放接口，做一个token验证，每次发起请求必须带验证。就不会被随意调用了。

HTTP请求支持鉴权,用base auth 做访问身份验证.或者用oauth2对请求做认证.

lz 可以参考下微信js 的接口

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

可以在PHP会话中存储哪些数据？May 02, 2025 am 12:17 AM

phpsessionscanStorestrings，数字，数组和原始物。

您如何开始PHP会话？May 02, 2025 am 12:16 AM

tostartaphpsession，usesesses_start（）attheScript'Sbeginning.1）placeitbeforeanyOutputtosetThesessionCookie.2）useSessionsforuserDatalikeloginstatusorshoppingcarts.3）regenerateSessiveIdStopreventFentfixationAttacks.s.4）考虑使用AttActAcks.s.s.4）

什么是会话再生，如何提高安全性？May 02, 2025 am 12:15 AM

会话再生是指在用户进行敏感操作时生成新会话ID并使旧ID失效，以防会话固定攻击。实现步骤包括：1.检测敏感操作，2.生成新会话ID，3.销毁旧会话ID，4.更新用户端会话信息。

使用PHP会话时有哪些性能考虑？May 02, 2025 am 12:11 AM

PHP会话对应用性能有显着影响。优化方法包括：1.使用数据库存储会话数据，提升响应速度；2.减少会话数据使用，只存储必要信息；3.采用非阻塞会话处理器，提高并发能力；4.调整会话过期时间，平衡用户体验和服务器负担；5.使用持久会话，减少数据读写次数。

PHP会话与Cookie有何不同？May 02, 2025 am 12:03 AM

PHPsessionsareserver-side,whilecookiesareclient-side.1)Sessionsstoredataontheserver,aremoresecure,andhandlelargerdata.2)Cookiesstoredataontheclient,arelesssecure,andlimitedinsize.Usesessionsforsensitivedataandcookiesfornon-sensitive,client-sidedata.

PHP如何识别用户的会话？May 01, 2025 am 12:23 AM

phpientifiesauser'ssessionusessessionSessionCookiesAndSessionIds.1）whiwSession_start（）被称为，phpgeneratesainiquesesesessionIdStoredInacookInAcookInamedInAcienamedphpsessidontheuser'sbrowser'sbrowser.2）thisIdAllowSphptptpptpptpptpptortoreTessessionDataAfromtheserverMtheserver。

确保PHP会议的一些最佳实践是什么？May 01, 2025 am 12:22 AM

PHP会话的安全可以通过以下措施实现：1.使用session_regenerate_id()在用户登录或重要操作时重新生成会话ID。2.通过HTTPS协议加密传输会话ID。3.使用session_save_path()指定安全目录存储会话数据，并正确设置权限。

PHP会话文件默认存储在哪里？May 01, 2025 am 12:15 AM

phpsessionFilesArestoredIntheDirectorySpecifiedBysession.save_path，通常是/tmponunix-likesystemsorc：\ windows \ windows \ temponwindows.tocustomizethis：tocustomizEthis：1）useession_save_save_save_path_path（）

See all articles