防止 API“欺骗”或“黑客攻击”

Question

我创建了这个网络应用程序，并且创建了这个 API。为了这个示例，让我们保持简单：

我的应用程序需要知道用户有多少“积分”。 该 API 有一个调用 get_credits，该调用返回 {credits: 1000 }。

现在，我如何防止某人使用主机文件（或其他方法）创建他自己的返回 {credits: 2000 } 的 API。

我正在考虑插入某种哈希值，但因为它是 JavaScript，所以很容易从源中提取哈希值。我想握手也是如此。

那么，如何让API足够安全呢？

Answer 1

您必须以不同的方式来做，才能拥有一个真正安全的应用程序。您永远不应该信任最终用户的应用程序，因为用户或黑客可能可以修改代码。

所以我建议将所有购买等保留在服务器上。因为我现在对你的系统了解不多，所以我无法为你提供太多帮助。

如果服务器为每个商品生成一个哈希值，那么该哈希值可以允许用户向其他用户显示他确实购买了该商品，那就太好了。

请注意，这个哈希值必须长且唯一，否则用户可能会暴力破解它们。

我希望你理解我的意思，我的回答可以帮助你;-)

Answer 2

如果是客户端，您无能为力 - 尽最大努力。但您必须确保在回发时验证回复。永远不要相信用户:-)

Answer 3

我现在要告诉你我的系统是如何工作的。
为了在游戏期间获得积分，我发出 ajax 请求来加载它们。 ajax 请求调用一个简单的 php 页面，其中有一个“echo $credits;”。所以，破解是不可能的。如果有人修改客户端信用，当他们请求礼物时，我会使用 php 检查服务器端信用以确保它们是合法的：P - 请考虑检查您的系统是否容易受到 mysql 注入攻击，以防止有人破解你的信用系统:D