前后端分离如何保证接口不被滥调用？

• 資深大佬 : Hieast

  1. 鉴权
  2. 验签
  3. 限流

• 資深大佬 : hlwjia

  没意义

  不鉴权的 API 和公开 html 一个意思

  怎么你不问防止别人滥访问你的首页

• 資深大佬 : rootzzz

  限制调用次数，或者做 token 验证，一段时间内的响应次数等等吧，方法挺多的

• 資深大佬 : shoaly

  不能保证不被滥用, 反而是让爬虫更方便了, 之前还要解析 dom, 现在一个 json 搞定 美滋滋

• 資深大佬 : opengps

  token 啊，公开的数据有公开的 token
  鉴权的数据要有带鉴权的 token

• 資深大佬 : qingdanmo

  字体文件解君愁
  拿到 json 没有意义

• 資深大佬 : musi

  调用次数多了直接上验证码

• 資深大佬 : Veneris

  1.短 token 调接口，长 token 获取短 token
  2.token 限时间一定时间内调用次数
  3.签名验证机制，v2ex.com/t/699346

• 資深大佬 : autoxbc

  就我长期爬接口的经验，100 个网站也没有 1 个对公开数据做保护的

• 資深大佬 : fishCatcher

  验证码

• 資深大佬 : supermoonie

  接入阿里的滑块，滑动通过放行

• 資深大佬 : fy

  关注一下 这个确实头大

• 資深大佬 : dcalsky

  要找到区别普通用户与爬虫用户的点。以下是我战斗的经验。

  1. user-agent,refer, host 等等
  2. 自定义一些复杂的逻辑用 js 生成 cookie 然后后端验证（耐克网站）
  3. 限流，限制单个 ip 一分钟可访问次数
  4. 自己开发或使用第三方验证码

  但是你要记住，无论你的验证机制多复杂，你都无法完全屏蔽非正常用户。用户能访问到的，爬虫一样也可以。

• 資深大佬 : xuanbg

  需要鉴权的(一般是后台管理接口)统一鉴权，可以验证身份的必须验证 token，没法验证 token 但可以验签的(开放平台接口)必须验签，连验签都不能做的(如商品浏览、注册登录)就只能限流了。

• 資深大佬 : nathanleeinph

  前端不会乱调用 出现这种情况内部沟通或者从技术管理制度里去要求改正

  如果是防止外人搞破坏 你们接口加入签名措施即可 这样外人无法伪造参数请求