从 Java 安全地将数据发布到 URL 的最佳方法

Question

我正在为课程开发一个小游戏（用 Java 语言），我决定做的扩展是一个在线记分板。正如我认为可能发生的那样，我课程中的一些人已经弄清楚如何破解记分板并提交自己的分数。

我知道当前提交分数的方式存在一些问题，但就是这样。游戏生成分数，然后对 URL 执行 HTTP GET，其中包含玩家 ID、分数和密码选项。

我可能会将其更改为 POST，因为获取密码数据可能会更困难。另外，我正在考虑让它通过 HTTPS 运行（尽管我不知道这在 Java 中是否更困难）。不幸的是，这并不能阻止人们通过反编译 Java 代码找到密码的主要方式。

我不知道防止黑客攻击的最佳方法。我真的不太介意，它没那么重要，但最好能保护它，这样当代码被标记时，它就不会包含大量垃圾邮件。

对于混淆代码和/或保护整个过程的方法，您有什么建议？

Answer 1

你的方法根本行不通。当您需要保护某些内容时，您无法在客户端上运行它。

相反，整个游戏必须在服务器上运行，用户只能提交动作。这样，您就可以验证动作（这样玩家就无法创建非法状态）并计算正确的分数。

其他一切都可能被黑客入侵。如果不加密数据，则可以使用网络嗅探器对其进行黑客攻击。如果您使用 HTTPS，黑客可以使用代理来解码数据（中间人攻击）。

Answer 2

人们能做的就是从匿名跟踪转变为基于用户的跟踪。这并不能防止伪造，但使其更容易追踪。

基本协议可以是使用会话密钥对记分板更改进行签名或加密。会话密钥是在播放器本身登录时创建的。在这里您可以使用适当的身份验证系统进行工作。

现在至少您知道从哪个帐户进行了更改并且可以责怪您的学生......

Answer 3

混淆不会帮助你。
这只会让黑客变得更难，但肯定仍然有可能。

为了确保整个过程的安全（至少在某种程度上），您不应该在客户端上有任何游戏逻辑代码。客户端应该只向服务器发送游戏命令。收到命令后，服务器应检查用户是否可以执行给定的命令。

这样，即使你的同事发送命令“设置 jeff 分数 9999”，服务器也会检查 jeff 是否确实玩过给他 9999 分的游戏，如果没有，你可以在客户端上显示一条错误消息。

一般规则是：如果客户端上有某些内容，则客户端可以对其进行修改。大多数人承认试图让客户难以修改它是徒劳的，因为他们这样做只是时间问题。