后端敏感操作如何验证合法性?如何防止抓包模拟请求?-灵析社区
kunkun小黑子例如游戏后端有一个接口用来确认玩家完成关卡奖励一定数量的金币,在真实业务场景中是如何防止有人抓包后来模拟发送这个请求的?
喵酱魔法师可以接口加签名,比如你参数是
{
"data": {
'parama' : 'test'
}
}
可以自己写个算法,然后用一套规则,比如像接入支付宝那种,把所有的参数连起来处理一下,就变成
{
"data": {
'parama' : 'test',
'sign': 'xxxxxxxx'
}
}
多一个签名以后的sign,服务端收到的时候,先校验这个sign是不是合法的,是的话说明没人改你的参数,不对的就丢弃就好了。