本发明专利技术提供一种基于API接口的防刷方法及装置,方法包括:根据用户调用的API接口的访问顺序与API接口预设访问顺序的匹配结果,对用户的API接口调用请求进行校验;若校验失败,则拒绝用户的API接口调用请求。所述装置用于执行上述方法。本发明专利技术提供的基于API接口的防刷方法及装置,通过对用户的上下文访问控制,有效防范恶意用户的非法调用,大幅提高后台服务的安全性。
【技术实现步骤摘要】
基于API接口的防刷方法及装置
本专利技术涉及通信
,尤其涉及一种基于API接口的防刷方法及装置。
技术介绍
如今,互联网已成为人们生活中不可或缺的工具,各行各业都在进行电子化,网络服务的本质是各种后台API接口提供的功能,于是就出现了越来越多的恶意用户和不法分子为了实现非法获利或其他目的对API接口进行攻击和破解,所以现在对API接口服务的安全性要求越来越高。现有技术中针对上述问题,常用处理方案如下:1)通过后台接口访问次数控制及黑名单过滤的方法屏蔽非法请求。2)通过时间戳+随机数+参数签名的方式防止抓包复制请求参数或数据篡改。方案1)仍旧无法解决恶意用户可随意伪造多个账号信息直接轮询攻击服务的问题。方案2)缺少对短时间大批量接口访问的限制,可能因为短时间内并发请求超过系统最大处理能力而导致系统瘫痪,也没有对恶意用户的访问的限制。
技术实现思路
本专利技术提供的基于API接口的防刷方法及装置,用于克服现有技术中存在的上述问题,能够通过对用户的上下文访问控制,有效防范恶意用户的非法调用,大幅提高后台服务的安全性。本专利技术提供的一种基于API接口的防刷方法,包括:根据用户调用的API接口的访问顺序与API接口预设访问顺序的匹配结果,对用户的API接口调用请求进行校验;若校验失败,则拒绝所述用户的API接口调用请求。根据本专利技术提供的一种基于API接口的防刷方法,所述API接口预设访问顺序通过如下方式确定:>根据与所述API接口对应的Web页面类型和Web页面层次关系对所有API接口进行顺序标注,以获取所述API接口预设访问顺序。根据本专利技术提供的一种基于API接口的防刷方法,在所述根据用户调用的API接口的访问顺序与API接口预设访问顺序的匹配结果,对用户的API接口调用请求进行校验之前,包括:对所述用户进行身份认证,并在身份认证通过后,对所述用户的API接口调用请求的参数进行校验;若校验通过,则将所述用户调用的API接口的访问顺序与所述API接口预设访问顺序进行匹配。根据本专利技术提供的一种基于API接口的防刷方法,还包括:根据所述匹配结果,对用户的当前信用分进行更新;若确定更新后的用户的信用分低于预设信用分阈值,则将所述用户加入黑名单,并拒绝黑名单用户的API接口调用请求。根据本专利技术提供的一种基于API接口的防刷方法,所述对用户的当前信用分进行更新,包括:若匹配结果表明,所述用户调用的API接口的访问顺序为非法访问,则将所述用户的当前信用分减去第一预设值,以对所述用户的当前信用分进行更新;若匹配结果表明,所述用户调用的API接口的访问顺序为合法访问,则将所述用户的当前信用分增加第二预设值,以对所述用户的当前信用分进行更新。根据本专利技术提供的一种基于API接口的防刷方法,所述对所述用户的API接口调用请求的参数进行校验,包括:对所述用户的API接口调用请求的如下参数中的至少一种进行校验:入参参数、客户端IP地址、预设时间段内次数和频率以及用户身份标识。本专利技术还提供一种基于API接口的防刷装置,包括:校验模块以及第一授权模块;所述校验模块,用于根据用户调用的API接口的访问顺序与API接口预设访问顺序的匹配结果,对用户的API接口调用请求进行校验;所述第一授权模块,用于若校验失败,则拒绝所述用户的API接口调用请求。根据本专利技术提供的一种基于API接口的防刷装置,还包括:第二授权模块,用于根据所述匹配结果,对用户的当前信用分进行更新;若确定更新后的用户的信用分低于预设信用分阈值,则将所述用户加入黑名单,并拒绝黑名单用户的API接口调用请求。本专利技术还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述基于API接口的防刷方法的步骤。本专利技术还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述基于API接口的防刷方法的步骤。本专利技术提供的基于API接口的防刷方法及装置,通过基于用户调用的API接口的访问顺序与API接口预设访问顺序的匹配结果,实现对用户的上下文访问控制,能够有效防范恶意用户的非法调用,大幅提高后台服务的安全性。附图说明为了更清楚地说明本专利技术或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术提供的基于API接口的防刷方法的流程示意图;图2是本专利技术提供的基于API接口的防刷装置的结构示意图;图3是本专利技术提供的电子设备的结构示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚,下面将结合本专利技术中的附图,对本专利技术中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。图1是本专利技术提供的基于API接口的防刷方法的流程示意图,如图1所示,方法包括:S1、根据用户调用的API接口的访问顺序与API接口预设访问顺序的匹配结果,对用户的API接口调用请求进行校验;S2、若校验失败,则拒绝用户的API接口调用请求。需要说明的是,上述方法的执行主体可以是电子设备、电子设备中的部件、集成电路、或芯片。该电子设备可以是移动电子设备,也可以为非移动电子设备。示例性的,移动电子设备可以为手机、平板电脑、笔记本电脑、掌上电脑、车载电子设备、可穿戴设备、超级移动个人计算机(ultra-mobilepersonalcomputer,UMPC)、上网本或者个人数字助理(personaldigitalassistant,PDA)等,非移动电子设备可以为服务器、网络附属存储器(NetworkAttachedStorage,NAS)、个人计算机(personalcomputer,PC)、电视机(television,TV)、柜员机或者自助机等,本专利技术对此不作具体限定。下面以Web服务器执行本专利技术提供的基于API接口的防刷方法为例,详细说明本专利技术的技术方案。WebAPI是网络应用程序接口,WebAPI包含了广泛的功能,网络应用通过API接口,可以实现存储服务、消息服务、计算服务等能力,利用这些能力可以进行开发出强大功能的web应用。web计算平台包含了广泛的功能,其中的大部分均可以通过API(应用程序编程接口)接口访问。用户通过调用对应的后台API接口访问Web页面,Web服务器根据用户发送的API接口调用请求对用户访问Web页面请本文档来自技高网...
【技术保护点】
1.一种基于API接口的防刷方法,其特征在于,包括:/n根据用户调用的API接口的访问顺序与API接口预设访问顺序的匹配结果,对用户的API接口调用请求进行校验;/n若校验失败,则拒绝所述用户的API接口调用请求。/n
【技术特征摘要】
1.一种基于API接口的防刷方法,其特征在于,包括:
根据用户调用的API接口的访问顺序与API接口预设访问顺序的匹配结果,对用户的API接口调用请求进行校验;
若校验失败,则拒绝所述用户的API接口调用请求。
2.根据权利要求1所述的基于API接口的防刷方法,其特征在于,所述API接口预设访问顺序通过如下方式确定:
根据与所述API接口对应的Web页面类型和Web页面层次关系对所有API接口进行顺序标注,以获取所述API接口预设访问顺序。
3.根据权利要求1所述的基于API接口的防刷方法,其特征在于,在所述根据用户调用的API接口的访问顺序与API接口预设访问顺序的匹配结果,对用户的API接口调用请求进行校验之前,包括:
对所述用户进行身份认证,并在身份认证通过后,对所述用户的API接口调用请求的参数进行校验;
若校验通过,则将所述用户调用的API接口的访问顺序与所述API接口预设访问顺序进行匹配。
4.根据权利要求1所述的基于API接口的防刷方法,其特征在于,还包括:
根据所述匹配结果,对用户的当前信用分进行更新;
若确定更新后的用户的信用分低于预设信用分阈值,则将所述用户加入黑名单,并拒绝黑名单用户的API接口调用请求。
5.根据权利要求4所述的基于API接口的防刷方法,其特征在于,所述对用户的当前信用分进行更新,包括:
若匹配结果表明,所述用户调用的API接口的访问顺序为非法访问,则将所述用户的当前信用分减去第一预设值,以对所述用户的当前信用分进行更新;...
【专利技术属性】
技术研发人员:许华锋,赵岩,何金云,时静,
申请(专利权)人:联动优势科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。