在之前的文章中讨论了暴力破解带来的危害,这里探讨下如何有效的防止暴力破解。当然防止的方式有很多,作为一个java开发,暂且只探讨下如何在java层面友好的防止暴力破解。
验证码
验证码,是一个很安全有效的防刷策略。但是,目前市面上打码平台越来厉害,简单的二维码,并不能有效的防刷。
因此,如何研究出容易让人识别,但不容易让机器识别的二维码成为了问题。各个大平台各显神通。其中印象最为深刻的肯定是12306的验证码。
还有目前比较流行的滑块验证码
等等,主要是为了让人方便,而且让机器难受。只要机器无法自动的识别,那么就无法进行流量无限刷。
ip锁定
在很多情况下,很多人会有一种自娱自乐的心态自己去写脚本刷流量,例如:某个平台刷浏览量,刷点赞量。可能直接就一个很简单的脚本,用普通的电脑刷,一天也可以刷好几十万。
这种流量很好识别,1秒中好几十个,肯定不是人为发的请求,可以直接封了其ip。封ip的方式有很多,nginx可以直接通过deny IP进行限制。
但是,很多时候ip的限制要结合其业务进行实现,可通过openresty+lua实现。网上有很多现成的代码,这里就不多做解释。
[Nginx 通过 Lua + Redis 实现动态封禁 IP]
账号锁定
ip锁定只能识别业余的刷流量人员,专业的刷流量肯定会有ip代理。这样无法通过ip来识别。
如果其使用的账号一样,可以通过账号限制其请求频率。可通过Redis+Redisson 实现。Redisson 框架封装好了现成的限流方法,直接调用节可。
